Die restrict-Anweisung regelt die Zugangskontrolle.

restrict address [mask numeric_mask] [flag]

address

Wird address in „decimal-dotted“ Schreibweise angegeben, dann spezifiziert die IP-Adresse eines Netzwerks, eines Subnetzwerks oder eines einzelnen Hosts. Falls die mask-Klausel nicht angegeben ist, spezifiziert address die IP-Adresse eines einzelnen Host. Alternativ kann address einen gültigen DNS-Namen eines Hosts spezifizieren.

numeric_mask

numeric_mask ist in „decimal-dotted“ Schreibweise anzugeben und spezifiziert eine Subnetz-Maske.
Default: 255.255.255.255

flag

Die Spezifikation von flag bedeutet stets eine Einschränkung der Zugriffsberechtigung. Eine restrict-Anweisung ohne flag-Angabe zeigt somit uneingeschränkte Zugriffsberechtigung an.

Für flag können folgende Werte angegeben werden (eine vollständige Auflistung finden Sie z.B. in der mitgelieferten HTML-Dokumentation):

ignore

Pakete, die von den durch die restrict-Anweisung spezifizierten Hosts kommen, werden ignoriert. Es werden weder ntpq/ntpdc-Queries noch Time Server-Polls beantwortet.

noserve

Alle NTP-Pakete mit einem Modus ungleich 6 oder 7 werden ignoriert. Time Service wird verweigert, ntpq/ntpdc-Queries sind jedoch zulässig.

notrust

Der lokale ntpd-Dämon führt keine Synchronisation auf Grund von NTP-Paketen durch, die von den durch die restrict-Anweisung spezifizierten Rechnern stammen.

Beispiel

# ntp.conf 
# 
# 
server   127.127.1.0               #own clock 
server   172.24.4.121 prefer       #time server 
server   172.25.24.12              #VM2 
server   172.25.109.118            #linux pc 
# 
# access control: 
# by default, ignore all packets 
# 
restrict default ignore 
# 
# don't trust servers on local net 
# 
restrict 172.25.0.0 mask 255.255.0.0 notrust 
# 
# the above defined servers are unrestricted 
# 
restrict 127.127.1.0               #own clock 
restrict 172.24.4.121              #time server 
restrict 172.25.24.12              #VM2 
restrict 172.25.109.118            #linux pc