Почему NTP требует двунаправленного доступа брандмауэра к порту UDP 123?

Из Каковы правила iptables для разрешения ntp?:

iptables -A INPUT -p udp --dport 123 -j ACCEPT
iptables -A OUTPUT -p udp --sport 123 -j ACCEPT

Также, с веб-сайта NTP:

... ntpd требует полного двунаправленного доступа к привилегированному порту UDP 123....

Мой вопрос в том, почему? Для кого-то, не знакомого с NTP, это кажется потенциальной дырой в безопасности, особенно когда я прошу своего клиента открыть этот порт в своем брандмауэре, чтобы мои серверы могли синхронизировать свое время. Есть ли у кого-нибудь достойное обоснование, которое я могу дать своему клиенту, чтобы убедить его в том, что мне нужен этот доступ в брандмауэре? Помощь приветствуется!:)