Saltar para o conteudo
Avanet

Configurar Sophos Firewall como servidor NTP

Sophos Firewall

Admitidamente, o título não está tecnicamente correto, porque na Sophos Firewall não corre nenhum serviço NTP. No entanto, com uma regra NAT é possível resolver isto de forma a que a Sophos Firewall trate todos os pedidos NTP e, no cliente ou servidor, possa continuar a ser indicado o IP do gateway como servidor NTP.

Criar regra NAT NTP

Primeiro crio agora uma regra NAT que trata do protocolo NTP.

Regra NAT Sophos Firewall para o servidor NTP
Regra NAT Sophos Firewall para o servidor NTP

Na regra NAT é definido para que redes locais a Sophos Firewall deve responder a pedidos NTP.

Vista detalhada da regra NAT Sophos Firewall para NTP
Vista detalhada da regra NAT Sophos Firewall para NTP

1. Original Source

Aqui são introduzidas as redes ou endereços IP individuais que devem usar esta regra NAT. Por exemplo, 192.168.33.0/24 ou também ANY, se todos os pedidos devem ser considerados.

2. Original Destination

Aqui listamos todos os endereços IP em que a Sophos Firewall deve escutar. Por exemplo, o endereço de gateway: 192.168.12.1 ou também ANY, se todos os pedidos devem ser considerados.

3. Original Service

Como protocolo, é indicado NTP, que já é um serviço predefinido na firewall.

4. Translated Source (SNAT)

A firewall deve executar IP Masquerading e por isso escolhemos aqui MASQ como valor.

5. Translated destination (DNAT)

Aqui introduzimos o endereço do servidor NTP para o qual a firewall deve enviar todos os pedidos de hora. Uso aqui o FQDN time.google.com. pool.ntp.org também é popular.

Inbound Interface

Adicionalmente, também pode indicar, por exemplo, as interfaces locais, para garantir que não responde a pedidos WAN. Deixo aqui em ANY e resolvo isto depois através da regra de firewall.

Regra de firewall para serviço NTP

Para que o tráfego da regra NAT seja permitido, é necessária uma regra de firewall, que agora é criada.

Regra Sophos Firewall para o servidor NTP
Regra Sophos Firewall para o servidor NTP

Regra Sophos Firewall para tráfego de servidor NTP

1. Source Zones

Aqui listamos todas as Source Zones, como por exemplo LAN. O que não queremos ver aqui é a zona WAN, porque não queremos disponibilizar um servidor NTP para a Internet.

2. Source Networks and Devices

Aqui podemos listar as mesmas redes que na regra NAT, no ponto 1. Original Source. Como aqui resolvo isto através da zona, deixo em ANY, mas naturalmente também se pode indicar ambos: zona e source networks.

3. Destination Zones

Como o nosso servidor de hora está na Internet, escolho aqui a zona WAN.

4. Destination Networks

Na regra NAT defini time.google.com como servidor NTP. Por isso, escolho aqui também este FQDN, embora pudesse deixar em ANY, porque isto já está definido na regra NAT. Ainda assim, gosto de ver diretamente na regra de firewall para onde vai o tráfego.

5. Services

Tal como na regra NAT, usamos o protocolo predefinido NTP.

6. Detect and prevent exploits (IPS)

Temos uma firewall porque também queremos trazer alguma segurança para a rede. Por isso, também disponibilizamos uma regra IPS para o tráfego NTP. Para isso criei simplesmente uma regra IPS com o Smart Filter nat.

Regra IPS NAT
Regra IPS NAT
Adicionar nova regra IPS para NAT
Adicionar nova regra IPS para NAT

⚠️ A função IPS (Intrusion Prevention) requer uma licença Network Protection.