Thread Info
  • State Not Answered
  • Replies 6 replies
  • Subscribers 0 subscribers
  • Views 1066 views
  • Users 0 members are here
Options
Suggested

[8.163][QUESTION][ANSWERED] NTP functionality

wingman
Hi All

If I enable the NTP functionality on my ASG (pic 1) and don't have any pf rules the NTP traffic fails. 

2011:04:17-11:52:59 ***** ulogd[5221]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" initf="eth1" outitf="ppp0" srcmac="0:1f:c6:e2:c5:1d" dstmac="0:b0:c2:2:e4:4f" srcip="192.168.2.1" dstip="192.43.244.18" proto="17" length="76" tos="0x00" prec="0x00" ttl="127" srcport="123" dstport="123"


The ntp server was : time.nist.gov (which is already set at -pic2 )

On an old port Jack (https://community.sophos.com/products/unified-threat-management/astaroorg/f/51/t/20929) mentioned that the best way to do this is by allowing the traffic via pf rules. 

Is there a known issue with the NTP functionality? I can resolve the issue by disabling NTp functionality (pic1) and creating the relevant pf rules

Thanks
Parents
  • 0
    Can you please post the output of '[FONT="Courier New"]cc get ntp[/FONT]'?

    Regarding Jacks post: i think you are misreading him. He talks about setting up a "failsafe" configuration for systems behind the ASG, using the ASG as one of two or more NTP servers. In that case you have to add a pf rule, but:


    • From a security point of view, you should configure the clients on you network to only use the ASG as a single source of time. 
    • From a sysadmin point of view, if you need a reliable second source of time, there are hardware clocks available as network appliances (eg. Meinberg).


    Hope this helps,

    Kai
Reply
  • 0
    Can you please post the output of '[FONT="Courier New"]cc get ntp[/FONT]'?

    Regarding Jacks post: i think you are misreading him. He talks about setting up a "failsafe" configuration for systems behind the ASG, using the ASG as one of two or more NTP servers. In that case you have to add a pf rule, but:


    • From a security point of view, you should configure the clients on you network to only use the ASG as a single source of time. 
    • From a sysadmin point of view, if you need a reliable second source of time, there are hardware clocks available as network appliances (eg. Meinberg).


    Hope this helps,

    Kai
Children
No Data
Cookie Information Banner