EN FR
Check-NTP / Guide Configuration Pare-feu

Configuration Pare-feu NTP : Ouvrir le Port UDP 123

Configurer les regles pare-feu pour autoriser le trafic NTP (UDP 123)

Comprendre NTP et les Pare-feux

Pourquoi NTP est Bloque

ProblemeCauseImpact
Sortant bloque Pare-feu bloque UDP 123 vers serveurs externes Impossible de se synchroniser
Entrant bloque Pare-feu stateful rejette les paquets retour Erreurs timeout, statut "unreachable"
Problemes NAT Port source change pendant traduction NAT NAT symetrique casse NTP

Linux : Configuration iptables

Autoriser NTP Sortant (Mode Client)

# Autoriser requetes NTP sortantes root@server:~# iptables -A OUTPUT -p udp --dport 123 -j ACCEPT # Autoriser reponses NTP entrantes (stateful) root@server:~# iptables -A INPUT -p udp --sport 123 -j ACCEPT # Ou utiliser le suivi de connexion (recommande) root@server:~# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Autoriser NTP Entrant (Mode Serveur)

# Si vous operez comme serveur NTP root@server:~# iptables -A INPUT -p udp --dport 123 -j ACCEPT root@server:~# iptables -A OUTPUT -p udp --sport 123 -j ACCEPT

Sauvegarder les Regles

# Debian/Ubuntu root@server:~# iptables-save > /etc/iptables/rules.v4 # RHEL/CentOS (legacy) root@server:~# service iptables save

Linux : firewalld (RHEL/CentOS/Fedora)

Activer le Service NTP

# Autoriser NTP de facon permanente root@server:~# firewall-cmd --permanent --add-service=ntp # Recharger le pare-feu root@server:~# firewall-cmd --reload # Verifier root@server:~# firewall-cmd --list-services ssh dhcpv6-client ntp

Ou Ouvrir le Port Directement

# Ajouter le port UDP 123 root@server:~# firewall-cmd --permanent --add-port=123/udp root@server:~# firewall-cmd --reload

Linux : ufw (Ubuntu/Debian)

Configuration Simple

# Autoriser NTP entrant et sortant root@server:~# ufw allow 123/udp # Verifier le statut root@server:~# ufw status numbered Status: active To Action From -- ------ ---- [ 1] 123/udp ALLOW IN Anywhere [ 2] 123/udp (v6) ALLOW IN Anywhere (v6)

Autoriser Seulement le Sortant (Plus Securise)

# Pour systemes client uniquement root@server:~# ufw allow out 123/udp

Pare-feu Windows

Commandes PowerShell

# Autoriser NTP sortant PS C:\> New-NetFirewallRule -DisplayName "NTP Sortant" -Direction Outbound -Protocol UDP -RemotePort 123 -Action Allow # Autoriser NTP entrant (pour reponses) PS C:\> New-NetFirewallRule -DisplayName "NTP Entrant" -Direction Inbound -Protocol UDP -LocalPort 123 -Action Allow

Methode Interface Graphique

  1. Ouvrir Pare-feu Windows Defender avec fonctions avancees de securite
  2. Cliquer Regles de trafic entrant puis Nouvelle regle
  3. Selectionner Port puis UDP puis Ports locaux specifiques : 123
  4. Selectionner Autoriser la connexion
  5. Appliquer a Domaine, Prive, Public selon besoins
  6. Nom : "NTP UDP 123"
  7. Repeter pour les Regles de trafic sortant

Tester la Connectivite NTP

Tester le Port UDP 123

# Avec netcat root@server:~# nc -vzu ntp.rdem-systems.com 123 Connection to ntp.rdem-systems.com 123 port [udp/ntp] succeeded! # Avec nmap root@server:~# nmap -sU -p 123 ntp.rdem-systems.com PORT STATE SERVICE 123/udp open ntp

Tester le Protocole NTP

# Avec ntpdate (mode requete) root@server:~# ntpdate -q ntp.rdem-systems.com server 195.154.XXX.XXX, stratum 1, offset 0.000234, delay 0.02563

Testez Votre Configuration

Apres avoir configure votre pare-feu, verifiez que tout fonctionne :

Lancer le Diagnostic NTP Problemes Daemon

Voir aussi : commandes CLI de test · Pourquoi ouvrir UDP/123 est requis pour la conformité NIS 2

Cas client en production : audit complet — 4,2 s de dérive corrigée