了解 NTP 服务器的配置

该server选项定义了一个远程 NTP 服务器，您的本地 NTP 服务器将与该服务器建立连接。

该restrict选项控制其他主机如何与您的本地 NTP 守护进程交互。它会影响服务器通过该server选项启动连接的主机，以及尝试启动与服务器的连接的主机。

该命令的基本语法是：

restrict address [mask mask] [ippeerlimit int] [flag ...]

该flag参数用于限制远程主机与本地服务器交互的方式；没有flag设置的条目意味着命名主机具有完全访问权限。

要了解该设置mask，请阅读手册页：Access control commandsntpd.conf

以点分四组形式表示的地址参数是主机或网络的地址。或者，地址参数可以是有效的主机 DNS 名称。以点分四组形式表示的掩码255.255.255.255参数默认为，这意味着该地址被视为单个主机的地址。始终包含默认条目（地址0.0.0.0、掩码0.0.0.0），并且始终是列表中的第一个条目。请注意， default没有掩码选项的文本字符串可用于指示默认条目。

在同一个文档的前面：

当掩码和数据包源地址的按位与等于列表中掩码和地址的按位与时，就会发生匹配。

因此，如果您有：

restrict 192.168.1.0 mask 255.255.255.0

然后网络中任何东西的“掩码和数据包源的按位与”192.168.1.0/24 将是192.168.1.0，因此该网络中的所有主机都将匹配。另一方面，如果您有：

restrict 192.168.1.0 mask 255.255.255.252

192.168.1.0然后只有通过的主机192.168.1.3才会匹配。

当应用于主机名时，如您在示例中所示，名称首先转换为地址，然后应用掩码。我会争辩说，在大多数情况下，除了使用主机名之外，使用掩码是没有意义的255.255.255.255，因为这是您可以编写的默认掩码：

restrict 0.centos.pool.ntp.org

您拥有的配置意味着“连接0.centos.pool.ntp.org并允许将其用作时间同步源”。

关于您的评论：

“那么只有主机 192.168.1.0 到 192.168.1.3 会匹配”是什么意思。请？你的意思是他们会互相联系。换句话说，我的 NTP 服务器将尝试访问 192.168.1.0 到 192.168.1.3 范围内的所有主机进行时间查询？

否。该restrict选项不控制您的本地 NTP 服务器将尝试连接到哪些主机；这就是server选项的用途。该restrict选项控制您的 NTP 服务器在建立连接后愿意交换的信息——通过您的服务器启动与远程服务器的连接，或通过远程服务器启动与您的服务器的连接。

还有第二个问题，所以掩码 255.255.255.255 将只允许一个主机，即 0.centos.pool.ntp.org 连接到我的 NTP 守护进程？如果是的话，为什么如果我们在 0.centos.pool.ntp.org 的 IP 地址（我知道我们必须转换为数字 IP）和 255.255.255.255 之间应用 AND，它会给我们 0.centos.pool。 ntp.org？

我不确定我是否遵循这个问题。如果您and的地址带有255.255.255.255，您将获得原始地址。这意味着只有作为第一个参数给出的特定地址restrict才会匹配。

正如我在答案的前面部分所说，我认为在mask按名称指定主机时使用参数没有多大意义，因为您通常总是需要默认行为（仅匹配明确指定的行为） .