允许 NTP 响应的访问规则

网络工程 思科-ios ntp
2021-07-25 12:40:45

Nagios 用于HOST1来检查HOST2上的 NTP 服务器其中一台服务器驻留在 ACL 中。假设是

ip access-list extended vlanX
 permit udp host HOST1 X Y eq ntp
 deny   ip any any log
!

将允许 ntp 响应,但会导致:

re-sending request to peer 0
NTP CRITICAL: No response from NTP server

在 HOST2 上执行命令时有效。NTP好像被屏蔽了。如何在ACL中允许它?请注意,ACL 有效,因为必须通过添加新访问规则明确允许来自特定主机的 PING。

2个回答

如果它是入站 ACL,那就没问题了。但是,如果您将相同的列表应用于到接口的出站流量,则会导致将 NTP 响应丢弃回您的主机。您的出站 ACL 应如下所示

ip access-list extended ACL-Out
 permit udp X Y eq 123 host HOST1
 deny ip any any log

您可以创建一个自反 ACL,这将允许响应数据包通过。

permit udp hosta hostb eq <port> reflect
其它你可能感兴趣的问题
上一篇ASA 阻止来自已建立连接的传入 TCP 流量 下一篇单节点和多节点光缆的最大段长是多少?