slava_ls Posted November 9, 2019 · Report post Уважаемые операторы интернет и домосетей. Пожалуйста, поднимайте у себя ntp сервера (это не сложно, поставить ntpd и брать информацию с серверов со stratum 1, а не с ubuntu.pool.ntp.org и добавьте такой сервер в https://www.ntppool.org/ru/join.html Также абсолютно ничего сложного нет в этом Просто поднял тут на днях ntp сервер и добавил в пул. Абсолютное большинство запросов это CPE девайсы которые стоят у пользователей. Они в большинстве своем постоянно берут время с NTP-серверов которые входят pool.ntp.org. Там и время-то точное не нужно. Однако запросы есть. То есть используя их предлагаю и отдавать что-то свое. Спасибо за внимание. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
bike Posted November 9, 2019 · Report post 58 минут назад, slava_ls сказал: Пожалуйста, поднимайте у себя ntp сервера (это не сложно, Получить NTP DDOS бота, нет спасибо. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
TheUser Posted November 9, 2019 · Report post 3 часа назад, bike сказал: Получить NTP DDOS бота, нет спасибо. Наконец-то осилить acl? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
disappointed Posted November 9, 2019 · Report post Я лет наверное 10 как в этом пуле присутствую, последние год два ещё с ipv6. Нагрузка так себе, не заметно. Но пришлось конечно conntrack для этого порта отрубить. График приложил. Кстати вспомнил прикол с этим пулом. Кто-то давно написал инструкцию по настройке какого-то конфига на микроте, потом эту статью растащили по всему инету десятками сотнями копий. И в ней какого-то хрена в настройке нтп автор указал IPv4 айпишник моего NTP сервера для ntppool, но ошибся в последнем октете. В итоге, я наблюдаю годами (!!!) поток запросов на этот адрес. Админы! Думайте башкой когда копируете конфиги из инета. На втором скрине как раз видны такие долбоёжики. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
jffulcrum Posted November 9, 2019 · Report post 3 часа назад, TheUser сказал: Наконец-то осилить acl? Как ACL защитит от ntp amplification, когда заваливают пакетами с source ip жертвы? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
witch Posted November 9, 2019 · Report post 11 минут назад, jffulcrum сказал: Как ACL защитит от ntp amplification, когда заваливают пакетами с source ip жертвы? закрыть ntp снаружи. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted November 9, 2019 · Report post Сделать NTP для публичного пула, а потом закрыть его от доступа извне? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
slava_ls Posted November 9, 2019 · Report post Так не будет атаки если свежий ntpd (или можно использовать защищённый openntpd) и при настройках соответствующих (в современных дистрибутивах так)https://habr.com/ru/post/209438/ По-умолчанию ntpd в том же debian/ubuntu отвечает всему миру и берет время из пула, тут же меняете сервера на сервера из stratum 1 (выбираете ближайшие к вам плюс пару зарубежных) и всё, готово Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted November 10, 2019 · Report post ntp от isc или кто там его пишет - очень дырявое и корявое поделие: https://www.freebsd.org/security/advisories.html по слову ntp поищи. Наевшись этого говна я ушёл на openntpd, с ним никаких проблем и работает оно ровно так как мне нужно: хочешь открываешь порт для запросов хочешь - вообще не биндишься к интерфейсу и никаких запросов не обслуживаешь, чисто клиент. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vurd Posted November 10, 2019 · Report post Ну теперь призыв звучит как "поднимите нтп правильный, настройте правильно, повесьте рейтлимит на аут на всякий случай и добро пожаловать в пул". Знаете. Очень заманчиво. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted November 11, 2019 · Report post В 09.11.2019 в 17:10, disappointed сказал: Админы! Думайте башкой когда копируете конфиги из инета. 17 часов назад, vurd сказал: Ну теперь призыв звучит как "поднимите нтп правильный, настройте правильно, повесьте рейтлимит на аут на всякий случай и добро пожаловать в пул". Потому что см выше - админы не думают, а те кто думают - редко всё ещё админы. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vodz Posted November 13, 2019 · Report post В 10.11.2019 в 12:14, vurd сказал: Ну теперь призыв звучит как "поднимите нтп правильный, настройте правильно, повесьте рейтлимит на аут на всякий случай и добро пожаловать в пул". Знаете. Очень заманчиво. На месте владельцев ntpool я бы подсказал Яровой очередной лист из принтера: "организовать на базе РТ ntpool.РФ, ему разрешить, а всем для безопасности гос-ва запретить брать ntp из Инета". Ну почему ТАМ могут сделать что-то бесплатное и нужное, а тут даже без денег и то ворчат, не говоря уже о помощи? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted November 13, 2019 · Report post 5 часов назад, vodz сказал: Ну почему ТАМ могут сделать что-то бесплатное и нужное, а тут даже без денег и то ворчат, не говоря уже о помощи? Да, странно. А ты когда последний раз куда то донатил? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vurd Posted November 14, 2019 · Report post Действительно, ну купите 10 впс по всей стране и поднимите там нтп. Дело одного дня. IP в студию. Будем юзать, поднимем ТУТ с колен. А вообще вы смысл моего мессажа не поняли. Но обвинения забавные, да. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Sergey Gilfanov Posted November 14, 2019 · Report post Воспользуюсь моментом и под приступом лени спрошу - а практичный способ взять время не с этих серверов, с GPS чипа старого смартфона есть? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted November 14, 2019 · Report post 1 час назад, Sergey Gilfanov сказал: практичный способ взять время не с этих серверов, с GPS чипа старого смартфона есть? Нету, если только ты не хочешь убить на это минимум пол дня с не гарантированным результатом :) Купи обычный приёмник GPS. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Sergey Gilfanov Posted November 14, 2019 · Report post 1 минуту назад, Ivan_83 сказал: Купи обычный приёмник GPS. Купить неспортивно. Хочется как-нибудь использовать ту небольшую кучку старых смартов, что по полкам валяется. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted November 14, 2019 · Report post Тогда самое простое, ИМХО, это рутануть, поставить туда entware, через него поставить ntpd и возможно оно заработает. Хотя чего меня слушать, лучше погуглить, наверняка есть способы проще :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vodz Posted November 14, 2019 · Report post 11 часов назад, Ivan_83 сказал: А ты когда последний раз куда то донатил? Я и участвую и лично пишу GPL софт, продвигаю opensource как могу, не юзаю платный софт и не провайдер. Чего вы там странного нашли я так и не понял. Ибо я считаю, что при оказывании платных услуг передачи данных, провайдер из соображения общей сетевой этики просто обязан держать для своих клиентов ntp, dns, smtp и прочий местный www-портал. И уж по крайней мере оказывать взаимные услуги при юзании общесетевых сервисов, особенно когда это им достаётся бесплатно. А пиринг просто обязан быть замкнут внутри страны и тот кто не хочет по хорошему будет делать через Яровую. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ayf Posted November 14, 2019 · Report post Через Яровую делать будут все. Расслабьтесь. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vodz Posted November 14, 2019 · Report post 3 часа назад, vurd сказал: Действительно, ну купите 10 впс по всей стране и поднимите там нтп. Дело одного дня. IP в студию. Будем юзать, поднимем ТУТ с колен. http://vniiftri.ru/en/services-of-the-ntp-servers - вот тут, как я понял за большие гос деньги уже просто так внутри страны раздают. И вообще наезда не понял, я не провайдер, я клиент, следовательно 1. Я заинтересован иметь ntp на ближайшем ко мне хосте 2. Если это провайдер организовывает, юзая бесплатно чей-то сервис, то вполне резонно задать вопрос, а что он отдаёт взамен за сервис для него. 4 часа назад, vurd сказал: А вообще вы смысл моего мессажа не поняли. Но обвинения забавные, да. Как типичненько. Обвинить, что нифига не понял, обхамить и сиди оплёванный и думай что хочешь. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted November 14, 2019 · Report post 36 минут назад, vodz сказал: Ибо я считаю, что при оказывании платных услуг передачи данных, провайдер из соображения общей сетевой этики просто обязан держать для своих клиентов ntp, dns, smtp и прочий местный www-портал. И уж по крайней мере оказывать взаимные услуги при юзании общесетевых сервисов, особенно когда это им достаётся бесплатно. А пиринг просто обязан быть замкнут внутри страны и тот кто не хочет по хорошему будет делать через Яровую. Я тоже так считаю. Насчёт smtp для клиентов - не уверен, сайт - это теперь скорее к маркетологам, хотя личный кабинет тоже мастхэв. Тут некоторые умудряются 8.8.8.8 клиентам отдавать в качестве DNS, и этим дебилам не объяснить что это плохо и что клиенты не подписывались на слив гуглу. До ntp видимо дорасти надо как и вообще до того чтобы что то отдавать. У нас в начале была фаза энтузиазма а теперь фаза капитализма, одна из начальных, когда до благотворительности не доросли а только деньги считают. 36 минут назад, vodz сказал: Чего вы там странного нашли я так и не понял. Пардон, очень замыстовато фараза составлена была. 32 минуты назад, vodz сказал: http://vniiftri.ru/en/services-of-the-ntp-servers - вот тут, как я понял за большие гос деньги уже просто так внутри страны раздают. А ты их зарегай в ntp.org :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
jffulcrum Posted November 14, 2019 · Report post 1 час назад, Ivan_83 сказал: До ntp видимо дорасти надо как и вообще до того чтобы что то отдавать. У нас в начале была фаза энтузиазма а теперь фаза капитализма, одна из начальных, когда до благотворительности не доросли а только деньги считают. Да, когда-то провайдеры зеркала региональных порталов держали, файлообменники, серверы обновлений Windows и антивирусов. Но их от этого жёстко отучили капитализмом: Во-первых, всякими правами копирастическими, а во-вторых, трафик стал дешевле серверов и рабсилы свое хозяйство поддерживать. Свой DNS, в общем-то, уже тоже анахронизм. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted November 14, 2019 · Report post 14 минут назад, jffulcrum сказал: Свой DNS, в общем-то, уже тоже анахронизм. Ну ок, юзайте мой, за скромную оплату: 1 руб за 1000 запросов. :) Я бы ещё мог понять если гугл и прочие пылесосы бигдаты доплачивали провайдерам за использование их зондовднс серверов, но просто так - надо таких сдавать в РКН для наказаний. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ayf Posted November 14, 2019 · Report post 4 часа назад, Ivan_83 сказал: Ну ок, юзайте мой, за скромную оплату: 1 руб за 1000 запросов. :) Я бы ещё мог понять если гугл и прочие пылесосы бигдаты доплачивали провайдерам за использование их зондовднс серверов, но просто так - надо таких сдавать в РКН для наказаний. У Вас среди клиентов нет Вайфай в кафе или других подобных местах? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...