<div dir="ltr"><div><div><div>It is possible to write an iptables kernel loadable module that can do application level filtering, and the ntp packet format even lends itself to it.<br><br></div>However, we will not go down that route.  It would be Linux-only, it would be outside of our remit and outside of our current hot skill-set, it would be yet another moving part, it would be difficult to package, and difficult to get many installations to install, as they get very strict about which KLMs they will install, and all for very little if any performance increase.<br><br></div>We will put the ntp application level packet filter in user space in the ntpsec implementation, not in the kernel.<br><br></div>..m<br></div><br><div class="gmail_quote"><div dir="ltr">On Tue, Jun 14, 2016 at 11:47 AM Gary E. Miller <<a href="mailto:gem@rellim.com">gem@rellim.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Yo Achim!<br>
<br>
On Tue, 14 Jun 2016 20:39:35 +0200<br>
Achim Gratz <<a href="mailto:Stromeko@nexgo.de" target="_blank">Stromeko@nexgo.de</a>> wrote:<br>
<br>
> Daniel Franke writes:<br>
> >> Are there other good ACL languages that we can steal the spec or<br>
> >> implementation from<br>
> ><br>
> > Most of the features we want to match on (basically everything<br>
> > except IP/port) are NTP-specific, so not directly. But a lot of my<br>
> > design was inspired by iptables.<br>
><br>
> Sorry for the sidetracking, but while you mention iptables: if we can<br>
> presume the existence of a packet filter in the OS, would it perhaps<br>
> make sense to not implement that part of the filtering in ntpd and<br>
> leave it to that filter?<br>
<br>
I would use iptables, but iptables are a large burden on an embedded<br>
system.  I certainly do not want to have to manage iptables on my<br>
old RasPi B.  Or any of my RasPi's.<br>
<br>
My head would hurt if I had to write an iptables rule that would allow<br>
remote requests, but not remote peering.<br>
<br>
RGDS<br>
GARY<br>
---------------------------------------------------------------------------<br>
Gary E. Miller Rellim 109 NW Wilmington Ave., Suite E, Bend, OR 97703<br>
        <a href="mailto:gem@rellim.com" target="_blank">gem@rellim.com</a>  Tel:+1 541 382 8588<br>
_______________________________________________<br>
devel mailing list<br>
<a href="mailto:devel@ntpsec.org" target="_blank">devel@ntpsec.org</a><br>
<a href="http://lists.ntpsec.org/mailman/listinfo/devel" rel="noreferrer" target="_blank">http://lists.ntpsec.org/mailman/listinfo/devel</a></blockquote></div>