Nos servidores Debian Jessie, vejo systemd-timesyncdescutando em portas UDP aleatórias. O que não é o caso dos hosts Debian Stretch. Por aleatório quero dizer que a porta que ele escuta varia de servidor para servidor. Ele precisa ouvir uma porta UDP para funcionar corretamente? Eu quero bloquear portas que não são necessárias. Isso significa que tenho que deixar todas as portas UDP abertas?
O systemd-timesyncd é principalmente um cliente ntp/sntp. IE fará solicitações de saída e obterá respostas. Se você estiver executando um firewall statefull , precisará permitir o tráfego UDP de saída e o tráfego de entrada ESTABLISHED/RELATED. Você não precisa permitir o tráfego de entrada para a porta em que o timesyncd está escutando.