Jump to content
Калькуляторы

pool.ntp.org - присоединятесь к time серверам

Уважаемые операторы интернет и домосетей. Пожалуйста, поднимайте у себя ntp сервера (это не сложно, поставить ntpd и брать информацию с серверов со stratum 1, а не с ubuntu.pool.ntp.org и добавьте такой сервер в https://www.ntppool.org/ru/join.html
Также абсолютно ничего сложного нет в этом

Просто поднял тут на днях ntp сервер и добавил в пул. Абсолютное большинство запросов это CPE девайсы которые стоят у пользователей. Они в большинстве своем постоянно берут время с NTP-серверов которые входят pool.ntp.org. Там и время-то точное не нужно. Однако запросы есть. То есть используя их предлагаю и отдавать что-то свое. Спасибо за внимание.
 

Share this post


Link to post
Share on other sites
58 минут назад, slava_ls сказал:

Пожалуйста, поднимайте у себя ntp сервера (это не сложно,

Получить NTP DDOS бота, нет спасибо.

Share this post


Link to post
Share on other sites
3 часа назад, bike сказал:

Получить NTP DDOS бота, нет спасибо.

Наконец-то осилить acl? 

Share this post


Link to post
Share on other sites

Я лет наверное 10 как в этом пуле присутствую, последние год два ещё с ipv6.

Нагрузка так себе, не заметно. Но пришлось конечно conntrack для этого порта отрубить. 

График приложил.

 

Кстати вспомнил прикол с этим пулом.

Кто-то давно написал инструкцию по настройке какого-то конфига на микроте,

потом эту статью растащили по всему инету десятками сотнями копий.

И в ней какого-то хрена в настройке нтп автор указал IPv4 айпишник моего NTP сервера для ntppool,

но ошибся в последнем октете.

В итоге, я наблюдаю годами (!!!) поток запросов на этот адрес.

Админы! Думайте башкой когда копируете конфиги из инета.

На втором скрине как раз видны такие долбоёжики.

 

2019-11-9 19-4-23.png

2019-11-9 19-13-22.png

Share this post


Link to post
Share on other sites
3 часа назад, TheUser сказал:

Наконец-то осилить acl? 

Как ACL защитит от ntp amplification, когда заваливают пакетами с source ip жертвы?

Share this post


Link to post
Share on other sites
11 минут назад, jffulcrum сказал:

Как ACL защитит от ntp amplification, когда заваливают пакетами с source ip жертвы?

закрыть  ntp снаружи.

Share this post


Link to post
Share on other sites

Сделать NTP для публичного пула, а потом закрыть его от доступа извне?

Share this post


Link to post
Share on other sites

Так не будет атаки если свежий ntpd (или можно использовать защищённый openntpd) и при настройках соответствующих (в современных дистрибутивах так)
https://habr.com/ru/post/209438/

 

По-умолчанию ntpd в том же debian/ubuntu отвечает всему миру и берет время из пула, тут же меняете сервера на сервера из stratum 1 (выбираете ближайшие к вам плюс пару зарубежных) и всё, готово

Share this post


Link to post
Share on other sites

ntp от isc или кто там его пишет - очень дырявое и корявое поделие: https://www.freebsd.org/security/advisories.html

по слову ntp поищи.

Наевшись этого говна я ушёл на openntpd, с ним никаких проблем и работает оно ровно так как мне нужно: хочешь открываешь порт для запросов хочешь - вообще не биндишься к интерфейсу и никаких запросов не обслуживаешь, чисто клиент.

Share this post


Link to post
Share on other sites

Ну теперь призыв звучит как "поднимите нтп правильный, настройте правильно, повесьте рейтлимит на аут на всякий случай и добро пожаловать в пул".

Знаете. Очень заманчиво.

Share this post


Link to post
Share on other sites
В 09.11.2019 в 17:10, disappointed сказал:

Админы! Думайте башкой когда копируете конфиги из инета.

 

17 часов назад, vurd сказал:

Ну теперь призыв звучит как "поднимите нтп правильный, настройте правильно, повесьте рейтлимит на аут на всякий случай и добро пожаловать в пул".

Потому что см выше - админы не думают, а те кто думают - редко всё ещё админы.

Share this post


Link to post
Share on other sites
В 10.11.2019 в 12:14, vurd сказал:

Ну теперь призыв звучит как "поднимите нтп правильный, настройте правильно, повесьте рейтлимит на аут на всякий случай и добро пожаловать в пул".

Знаете. Очень заманчиво.

На месте владельцев ntpool я бы подсказал Яровой очередной лист из принтера: "организовать на базе РТ ntpool.РФ, ему разрешить, а всем для безопасности гос-ва запретить брать ntp из Инета".

Ну почему ТАМ могут сделать что-то бесплатное и нужное, а тут даже без денег и то ворчат, не говоря уже о помощи?

Share this post


Link to post
Share on other sites
5 часов назад, vodz сказал:

Ну почему ТАМ могут сделать что-то бесплатное и нужное, а тут даже без денег и то ворчат, не говоря уже о помощи?

Да, странно.

А ты когда последний раз куда то донатил?

Share this post


Link to post
Share on other sites

Действительно, ну купите 10 впс по всей стране и поднимите там нтп. Дело одного дня. IP в студию. Будем юзать, поднимем ТУТ с колен.

 

А вообще вы смысл моего мессажа не поняли. Но обвинения забавные, да.

Share this post


Link to post
Share on other sites

Воспользуюсь моментом и под приступом лени спрошу - а практичный способ взять время не с этих серверов, с GPS чипа старого смартфона есть?

Share this post


Link to post
Share on other sites
1 час назад, Sergey Gilfanov сказал:

практичный способ взять время не с этих серверов, с GPS чипа старого смартфона есть?

Нету, если только ты не хочешь убить на это минимум пол дня с не гарантированным результатом :)

Купи обычный приёмник GPS.

Share this post


Link to post
Share on other sites
1 минуту назад, Ivan_83 сказал:

Купи обычный приёмник GPS.

Купить неспортивно. Хочется как-нибудь использовать ту небольшую кучку старых смартов, что по полкам валяется.

Share this post


Link to post
Share on other sites

Тогда самое простое, ИМХО, это рутануть, поставить туда entware, через него поставить ntpd и возможно оно заработает.

Хотя чего меня слушать, лучше погуглить, наверняка есть способы проще :)

Share this post


Link to post
Share on other sites
11 часов назад, Ivan_83 сказал:

А ты когда последний раз куда то донатил?

Я и участвую и лично пишу GPL софт, продвигаю opensource как могу, не юзаю платный софт и не провайдер. Чего вы там странного нашли я так и не понял. Ибо я считаю, что при оказывании платных услуг передачи данных, провайдер из соображения общей сетевой этики просто обязан держать для своих клиентов ntp, dns, smtp и прочий местный www-портал. И уж по крайней мере оказывать взаимные услуги при юзании общесетевых сервисов, особенно когда это им достаётся бесплатно. А пиринг просто обязан быть замкнут внутри страны и тот кто не хочет по хорошему будет делать через Яровую.

Share this post


Link to post
Share on other sites

Через Яровую делать будут все. Расслабьтесь.

Share this post


Link to post
Share on other sites
3 часа назад, vurd сказал:

Действительно, ну купите 10 впс по всей стране и поднимите там нтп. Дело одного дня. IP в студию. Будем юзать, поднимем ТУТ с колен.

http://vniiftri.ru/en/services-of-the-ntp-servers - вот тут, как я понял за большие гос деньги уже просто так внутри страны раздают. И вообще наезда не понял, я не провайдер, я клиент, следовательно 1. Я заинтересован иметь ntp на ближайшем ко мне хосте 2. Если это провайдер организовывает, юзая бесплатно чей-то сервис, то вполне резонно задать вопрос, а что он отдаёт взамен за сервис для него.

4 часа назад, vurd сказал:

А вообще вы смысл моего мессажа не поняли. Но обвинения забавные, да.

Как типичненько. Обвинить, что нифига не понял, обхамить и сиди оплёванный и думай что хочешь.

Share this post


Link to post
Share on other sites
36 минут назад, vodz сказал:

Ибо я считаю, что при оказывании платных услуг передачи данных, провайдер из соображения общей сетевой этики просто обязан держать для своих клиентов ntp, dns, smtp и прочий местный www-портал. И уж по крайней мере оказывать взаимные услуги при юзании общесетевых сервисов, особенно когда это им достаётся бесплатно. А пиринг просто обязан быть замкнут внутри страны и тот кто не хочет по хорошему будет делать через Яровую.

Я тоже так считаю.

Насчёт smtp для клиентов - не уверен, сайт - это теперь скорее к маркетологам, хотя личный кабинет тоже мастхэв.

Тут некоторые умудряются 8.8.8.8 клиентам отдавать в качестве DNS, и этим дебилам не объяснить что это плохо и что клиенты не  подписывались на слив гуглу.

До ntp видимо дорасти надо как и вообще до того чтобы что то отдавать. У нас в начале была фаза энтузиазма а теперь фаза капитализма, одна из начальных, когда до благотворительности не доросли а только деньги считают.

 

36 минут назад, vodz сказал:

Чего вы там странного нашли я так и не понял.

Пардон, очень замыстовато фараза составлена была.

 

32 минуты назад, vodz сказал:

http://vniiftri.ru/en/services-of-the-ntp-servers - вот тут, как я понял за большие гос деньги уже просто так внутри страны раздают.

А ты их зарегай в ntp.org :)

Share this post


Link to post
Share on other sites
1 час назад, Ivan_83 сказал:

До ntp видимо дорасти надо как и вообще до того чтобы что то отдавать. У нас в начале была фаза энтузиазма а теперь фаза капитализма, одна из начальных, когда до благотворительности не доросли а только деньги считают.

Да, когда-то провайдеры зеркала региональных порталов держали, файлообменники, серверы обновлений Windows и антивирусов. Но их от этого жёстко отучили капитализмом: Во-первых, всякими правами копирастическими, а во-вторых, трафик стал дешевле серверов и рабсилы свое хозяйство поддерживать. Свой DNS, в общем-то, уже тоже анахронизм.

Share this post


Link to post
Share on other sites
14 минут назад, jffulcrum сказал:

Свой DNS, в общем-то, уже тоже анахронизм.

Ну ок, юзайте мой, за скромную оплату: 1 руб за 1000 запросов. :)

Я бы ещё мог понять если гугл и прочие пылесосы бигдаты доплачивали провайдерам за использование их зондовднс серверов, но просто так - надо таких сдавать в РКН для наказаний.

Share this post


Link to post
Share on other sites
4 часа назад, Ivan_83 сказал:

Ну ок, юзайте мой, за скромную оплату: 1 руб за 1000 запросов. :)

Я бы ещё мог понять если гугл и прочие пылесосы бигдаты доплачивали провайдерам за использование их зондовднс серверов, но просто так - надо таких сдавать в РКН для наказаний.

У Вас среди клиентов нет Вайфай в кафе или других подобных местах?

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now