使用主机作为 ntp-client 和 lxc-router 作为 ntp-server

NTP 的配置与我所说的直观不同。默认情况下，它会安装一个客户端，该客户端读取和写入系统时钟并开始侦听所有接口和网桥，并急切地使用它们来提供有关其状态的信息而无需身份验证。

我很难收集所有信息和文档来（希望）正确地做到这一点。甚至默认配置文件也包含一些手册页未涵盖的语句。

在不提供过多信息和服务的情况下，以下配置似乎可以正常工作。

这是要安装在主机上以强制执行仅客户端操作的配置：

>> my-host:/etc/ntp.conf

# stop listening for incoming connections an all interfaces including 0.0.0.0 and [::]
interface ignore all
interface ignore wildcard

# only allow listening on the interface used to contact the time servers
interface listen 10.2.20.2

# your pools or servers
pool 0.debian.pool.ntp.org iburst
pool 1.debian.pool.ntp.org iburst
pool 2.debian.pool.ntp.org iburst
pool 3.debian.pool.ntp.org iburst

# by default drop all incoming connections on all interfaces
restrict default ignore

# unrestriced control for local connections
restrict 127.0.0.1
restrict ::1

# Needed for adding pool entries
restrict source notrap nomodify noquery

重新启动服务为我们提供了一个易于理解的侦听套接字列表。（my-host:ntp由于 NTPd 的工作方式，无法避免。）

my-host:# netstat -a|grep ntp
udp        0      0 my-host:ntp   0.0.0.0:*
udp        0      0 localhost:ntp 0.0.0.0:*
udp6       0      0 localhost:ntp [::]:*

这是要安装在路由器容器上以强制执行仅服务器操作的配置（由系统时钟作为时间源支持，感谢@BillThor）：

>> router:/etc/ntp.conf

# don't update the system's clock
disable kernel

# local clock as preferred and only source
server 127.127.1.0 prefer

# stop listening for incoming connections an all interfaces including 0.0.0.0 and [::]
interface ignore all
interface ignore wildcard

# whitelist addresses to listen on for NTP clients
interface listen 10.1.2.1
interface listen 10.2.2.2
interface listen 10.3.2.3
interface listen 10.4.2.4
interface listen 10.5.2.5

# set "serve" as the only permission given to all listening interfaces per default
restrict default kod notrap nomodify nopeer noquery limited

# unrestriced control for local connections
restrict 127.0.0.1
restrict ::1

# broadcast time (optional)
broadcast 10.1.255.255
broadcast 10.2.255.255
broadcast 10.3.255.255
broadcast 10.4.255.255
broadcast 10.5.255.255

重新启动服务为我们提供了本地时钟作为首选源和（可选）广播目标列表

router:# ntpq -p
     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
*LOCAL(0)        .LOCL.           5 l   16   64    3    0.000    0.000   0.000
 10.1.255.255    .BCST.          16 B    -   64    0    0.000    0.000   0.000
 10.2.255.255    .BCST.          16 B    -   64    0    0.000    0.000   0.000
 10.3.255.255    .BCST.          16 B    -   64    0    0.000    0.000   0.000
 10.4.255.255    .BCST.          16 B    -   64    0    0.000    0.000   0.000
 10.5.255.255    .BCST.          16 B    -   64    0    0.000    0.000   0.000

...以及为本地网络提供服务的可理解的侦听套接字列表。

router:# netstat -a|grep ntp
udp        0      0 router-lan5:ntp 0.0.0.0:*
udp        0      0 router-lan4:ntp 0.0.0.0:*
udp        0      0 router-lan3:ntp 0.0.0.0:*
udp        0      0 router-lan2:ntp 0.0.0.0:*
udp        0      0 router-lan1:ntp 0.0.0.0:*
udp        0      0 localhost:ntp   0.0.0.0:*
udp6       0      0 localhost:ntp   [::]:*

（disable kernel感谢@PaulGear）禁止守护程序设置系统时钟，这在典型容器中是不允许的。否则，它会用以下内容淹没日志：

ntpd[1568]: adj_systime: Operation not permitted

在启动时仍然有一些无害的故障，我不知道如何摆脱：

ntpd[1568]: start_kern_loop: ntp_loopfilter.c line 1119: ntp_adjtime: Operation not permitted
ntpd[1568]: set_freq: ntp_loopfilter.c line 1082: ntp_adjtime: Operation not permitted

只需将本地时钟添加为服务器并禁用所有服务器。捏造优先级，因此如果有人将您的主机作为服务器，他们不会认为您正在运行和原子钟。这是我用于服务器的配置：

# Fallback to local clock if all else fails
server  127.127.1.0     # local clock
fudge   127.127.1.0 stratum 10

为了防止服务时间使用限制子句。

restrict 192.168.0.0    mask 255.255.0.0     notrap nomodify nopeer noserve

文档位于ntp.org。