Configuration Pare-feu NTP | Ouvrir le Port UDP 123

Navigation Rapide

Comprendre NTP et les Pare-feux
Linux : iptables
Linux : firewalld (RHEL/CentOS)
Linux : ufw (Ubuntu/Debian)
Pare-feu Windows
Tester la Connectivite

Comprendre NTP et les Pare-feux

Exigences du Protocole NTP

NTP utilise le port UDP 123 pour les ports source et destination. Le trafic UDP 123 sortant ET entrant doit etre autorise.

Pourquoi NTP est Bloque

Probleme	Cause	Impact
Sortant bloque	Pare-feu bloque UDP 123 vers serveurs externes	Impossible de se synchroniser
Entrant bloque	Pare-feu stateful rejette les paquets retour	Erreurs timeout, statut "unreachable"
Problemes NAT	Port source change pendant traduction NAT	NAT symetrique casse NTP

Consideration Securite

Les attaques par amplification NTP sont un vecteur DDoS connu. N'ouvrez le port 123 que si necessaire. Utilisez les directives restrict dans ntp.conf pour limiter qui peut interroger votre service NTP.

Linux : Configuration iptables

Autoriser NTP Sortant (Mode Client)

# Autoriser requetes NTP sortantes root@server:~# iptables -A OUTPUT -p udp --dport 123 -j ACCEPT # Autoriser reponses NTP entrantes (stateful) root@server:~# iptables -A INPUT -p udp --sport 123 -j ACCEPT # Ou utiliser le suivi de connexion (recommande) root@server:~# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Autoriser NTP Entrant (Mode Serveur)

# Si vous operez comme serveur NTP root@server:~# iptables -A INPUT -p udp --dport 123 -j ACCEPT root@server:~# iptables -A OUTPUT -p udp --sport 123 -j ACCEPT

Sauvegarder les Regles

# Debian/Ubuntu root@server:~# iptables-save > /etc/iptables/rules.v4 # RHEL/CentOS (legacy) root@server:~# service iptables save

Linux : firewalld (RHEL/CentOS/Fedora)

Activer le Service NTP

# Autoriser NTP de facon permanente root@server:~# firewall-cmd --permanent --add-service=ntp # Recharger le pare-feu root@server:~# firewall-cmd --reload # Verifier root@server:~# firewall-cmd --list-services ssh dhcpv6-client ntp

Ou Ouvrir le Port Directement

# Ajouter le port UDP 123 root@server:~# firewall-cmd --permanent --add-port=123/udp root@server:~# firewall-cmd --reload

Linux : ufw (Ubuntu/Debian)

Configuration Simple

# Autoriser NTP entrant et sortant root@server:~# ufw allow 123/udp # Verifier le statut root@server:~# ufw status numbered Status: active To Action From -- ------ ---- [ 1] 123/udp ALLOW IN Anywhere [ 2] 123/udp (v6) ALLOW IN Anywhere (v6)

Autoriser Seulement le Sortant (Plus Securise)

# Pour systemes client uniquement root@server:~# ufw allow out 123/udp

Pare-feu Windows

Commandes PowerShell

# Autoriser NTP sortant PS C:\> New-NetFirewallRule -DisplayName "NTP Sortant" -Direction Outbound -Protocol UDP -RemotePort 123 -Action Allow # Autoriser NTP entrant (pour reponses) PS C:\> New-NetFirewallRule -DisplayName "NTP Entrant" -Direction Inbound -Protocol UDP -LocalPort 123 -Action Allow

Methode Interface Graphique

Ouvrir Pare-feu Windows Defender avec fonctions avancees de securite
Cliquer Regles de trafic entrant puis Nouvelle regle
Selectionner Port puis UDP puis Ports locaux specifiques : 123
Selectionner Autoriser la connexion
Appliquer a Domaine, Prive, Public selon besoins
Nom : "NTP UDP 123"
Repeter pour les Regles de trafic sortant

Tester la Connectivite NTP

Tester le Port UDP 123

# Avec netcat root@server:~# nc -vzu ntp.rdem-systems.com 123 Connection to ntp.rdem-systems.com 123 port [udp/ntp] succeeded! # Avec nmap root@server:~# nmap -sU -p 123 ntp.rdem-systems.com PORT STATE SERVICE 123/udp open ntp

Tester le Protocole NTP

# Avec ntpdate (mode requete) root@server:~# ntpdate -q ntp.rdem-systems.com server 195.154.XXX.XXX, stratum 1, offset 0.000234, delay 0.02563

Test Reussi

Si vous voyez des reponses avec niveaux stratum 1-4 et des valeurs d'offset raisonnables, votre pare-feu est correctement configure pour NTP.

Testez Votre Configuration

Apres avoir configure votre pare-feu, verifiez que tout fonctionne :

Lancer le Diagnostic NTP Problemes Daemon

Guide Pare-feu NTP