{"id":86140,"date":"2022-10-24T20:00:22","date_gmt":"2022-10-24T19:00:22","guid":{"rendered":"https:\/\/www.avanet.com\/kb\/impostare-sophos-firewall-come-server-ntp\/"},"modified":"2022-11-08T10:43:24","modified_gmt":"2022-11-08T09:43:24","slug":"impostare-sophos-firewall-come-server-ntp","status":"publish","type":"kb","link":"https:\/\/www.avanet.com\/it\/kb\/impostare-sophos-firewall-come-server-ntp\/","title":{"rendered":"Impostare Sophos Firewall come server NTP"},"content":{"rendered":"\n

Il titolo \u00e8 in realt\u00e0 errato, in quanto non esiste un servizio NTP in esecuzione su Sophos Firewall.\nTuttavia, questo problema pu\u00f2 essere risolto con una regola NAT, in modo che il Sophos Firewall si occupi di tutte le richieste NTP e l’IP del gateway possa ancora essere specificato come Server NTP sul client o sul Server. <\/p>\n\n

Creare una regola NAT NTP<\/h2>\n\n

Per prima cosa, creo una regola NAT che si occupa del protocollo NTP.<\/p>\n\n

\n
\"\"<\/a><\/figure>\n<\/figure>\n\n

La regola NAT definisce ora per quali reti locali il Sophos Firewall deve rispondere alle richieste NTP.<\/p>\n\n

\n
\"\"<\/a><\/figure>\n<\/figure>\n\n

1. Original Source<\/h3>\n\n

Qui si inseriscono le reti o i singoli indirizzi IP che devono utilizzare questa regola NAT.\nAd esempio, 192.168.33.0\/24 o ANY, se si vuole prendere in considerazione ogni richiesta. <\/p>\n\n

2. Original Destination<\/h3>\n\n

Qui si elencano tutti gli indirizzi IP che il Sophos Firewall deve ascoltare.\nAd esempio, l’indirizzo del gateway: 192.168.12.1 o ANY, se si vuole prendere in considerazione ogni richiesta. <\/p>\n\n

3. Original Service<\/h3>\n\n

Come protocollo viene specificato NTP<\/strong>, che \u00e8 gi\u00e0 un servizio predefinito sul firewall.<\/p>\n\n

4. Translated Source (SNAT)<\/h3>\n\n

Il firewall deve eseguire il masquerading IP e quindi selezioniamo MASQ<\/strong> come valore.<\/p>\n\n

5. Translated destination (DNAT)<\/h3>\n\n

Qui si inserisce l’indirizzo del Server NTP a cui il firewall deve inviare tutte le richieste di orario.\nIo uso l’FQDN time.google.com<\/strong>, ma anche pool.ntp.org<\/strong> \u00e8 molto diffuso. <\/p>\n\n

Inbound Interface<\/h3>\n\n

Inoltre, \u00e8 possibile memorizzare anche le interfacce locali, per esempio, in modo da essere sicuri di non rispondere a nessuna richiesta WAN.\nLo lascio a QUALSIASI e risolvo il problema in seguito tramite la regola del firewall. <\/p>\n\n

Regola del firewall per il servizio NTP<\/h2>\n\n

Per consentire il traffico della regola NAT, \u00e8 necessaria una regola del firewall, che ora viene creata.<\/p>\n\n

\n
\"\"<\/a><\/figure>\n
Regola del Sophos Firewall per il traffico del Server NTP<\/figcaption><\/figure>\n\n

1. Source Zones<\/h3>\n\n

Qui vengono elencate tutte le zone di origine, come la LAN.<\/strong>\nQuello che non vogliamo vedere qui \u00e8 la zona WAN<\/strong>, poich\u00e9 non vogliamo fornire un Server NTP per Internet. <\/p>\n\n

2. Source Networks and Devices<\/h3>\n\n

Qui si possono elencare le stesse reti della regola NAT al punto 1. sorgente originale.\nPoich\u00e9 qui risolvo il problema tramite la zona, lo lascio a QUALSIASI, ma naturalmente \u00e8 possibile memorizzare sia le reti di zona che quelle di origine. <\/p>\n\n

3. Destination Zones<\/h3>\n\n

Poich\u00e9 il nostro time server \u00e8 su Internet, scelgo qui la zona WAN<\/strong>.<\/p>\n\n

4. Destination Networks<\/h3>\n\n

Ho definito time.google.com come Server NTP nella regola NAT.\nPer questo motivo ho scelto questo FQDN, ma potrei lasciarlo a QUALSIASI, poich\u00e9 \u00e8 gi\u00e0 definito nella regola NAT.\nTuttavia, mi piace vedere immediatamente nella regola del firewall dove va il traffico. <\/p>\n\n

5. Services<\/h3>\n\n

Come per la regola NAT, utilizziamo il protocollo predefinito NTP<\/strong>.<\/p>\n\n

6. Detect and prevent exploits (IPS)<\/h3>\n\n

Avete il firewall perch\u00e9 volete anche garantire una certa sicurezza alla rete.\nPer questo motivo forniamo anche una regola IPS per il traffico NTP.\nA tale scopo, ho semplicemente creato una regola IPS con lo Smart Filter nat<\/strong>. <\/p>\n\n

\n
\"\"<\/a>
Regola IPS NAT<\/figcaption><\/figure>\n\n\n\n
\"\"<\/a>
Aggiungere una nuova regola IPS per NAT<\/figcaption><\/figure>\n<\/figure>\n\n

La funzione IPS (Intrusion Prevention) richiede una licenza Network Protection.<\/p>\n","protected":false},"author":5,"featured_media":0,"parent":0,"template":"","format":"standard","kb_kategorie":[409],"class_list":["post-86140","kb","type-kb","status-publish","format-standard","hentry","kb_kategorie-sophos-firewall"],"blocksy_meta":[],"acf":[],"_links":{"self":[{"href":"https:\/\/www.avanet.com\/it\/wp-json\/wp\/v2\/kb\/86140","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.avanet.com\/it\/wp-json\/wp\/v2\/kb"}],"about":[{"href":"https:\/\/www.avanet.com\/it\/wp-json\/wp\/v2\/types\/kb"}],"author":[{"embeddable":true,"href":"https:\/\/www.avanet.com\/it\/wp-json\/wp\/v2\/users\/5"}],"wp:attachment":[{"href":"https:\/\/www.avanet.com\/it\/wp-json\/wp\/v2\/media?parent=86140"}],"wp:term":[{"taxonomy":"kb_kategorie","embeddable":true,"href":"https:\/\/www.avanet.com\/it\/wp-json\/wp\/v2\/kb_kategorie?post=86140"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}