<div><br></div><div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, Mar 18, 2020 at 8:46 AM Steven Sommars <<a href="mailto:stevesommarsntp@gmail.com">stevesommarsntp@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">The various NTP filters (rate limits, packet size limits) are negatively affecting the NTP Pool, the new secure NTP protocol (Network Time Security) and other clients.  NTP filters were deployed several years ago to solve serious DDoS issues, I'm not second guessing those decisions.  Changing the filters to instead block NTP mode 7, which cover monlist and other diagnostics, would improve NTP usability.<br><div><br></div><div><a href="http://www.leapsecond.com/ntp/NTP_Suitability_PTTI2020_Revised_Sommars.pdf" target="_blank">http://www.leapsecond.com/ntp/NTP_Suitability_PTTI2020_Revised_Sommars.pdf</a>  <br></div></div></blockquote><div dir="auto"><br></div><div dir="auto">Yeh, not changing ipv4 filters, Sorry pool. Burned once, twice shy. </div><div dir="auto"><br></div><div dir="auto">There is no simple way to do router filters based on ntp app modes.  </div><div dir="auto"><br></div><div dir="auto">I suggest people be aware of <span style="color:rgb(55,71,79);font-family:"Roboto Mono",monospace;font-size:14.399999618530273px;background-color:rgb(241,243,244)"><a href="http://time.google.com">time.google.com</a> </span></div><div dir="auto"><br></div><div dir="auto">And  <a href="http://time.cloudflare.com">time.cloudflare.com</a> </div><div dir="auto"><br></div><div dir="auto">CB</div><div dir="auto"><br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, Mar 17, 2020 at 11:17 AM Mark Tinka <<a href="mailto:mark.tinka@seacom.mu" target="_blank">mark.tinka@seacom.mu</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
  
    
  
  <div>
    <br>
    <br>
    <div>On 17/Mar/20 18:05, Ca By wrote:<br>
      <br>
    </div>
    <blockquote type="cite">
      
      <div><br>
      </div>
      <div><br>
        <div class="gmail_quote"><br>
          <div dir="auto">+1 , still see, still have policers</div>
          <div dir="auto"><br>
          </div>
          <div dir="auto">Fyi, ipv6 ntp / udp tends to have a much
            higher success rate getting through cgn / policers / ...</div>
        </div>
      </div>
    </blockquote>
    <br>
    For those that have come in as attacks toward customers, we've
    "scrubbed" them where there has been interest.<br>
    <br>
    Mark.<br>
  </div>

</blockquote></div>
</blockquote></div></div>