Aus vielen Gründen (u.a. HTTPS) sollten alle Rechner in einem Netzwerk die aktuelle Zeit kennen, Sinnvollerweise verteilt man sie per Netzwerk mit dem NTP - network time protocol. Hier stellt die Firewall nebenbei die Zeitinformation zur Verfügung und die restlichen Rechner holen sich diese:

Clients benötigen einen NTP-Client, die Firewall einen NTP-Server.

Ich empfehle, die Firewall extra für diesen Zweck auch über ntp.unsereschuldomain.de im lokalen DNS aufzulösen. Kostet nichts, und erlaubt jederzeit eine Trennung der Dienste. Auf der Firewall muss ein ntp-Dienst laufen - i.d.R. ntpd. Dort kann man die Interfaces (all) konfigurieren und insbesondere die von der Firewall selbst zu benutzenden Server konfigurieren - oder belassen.

Win10-Clients haben einen Client eingebaut, dieser kontaktiert standardmäßig einen NTP-Server im Internet. Über die Datum- und Zeiteinstellungen kann man den Server umstellen und z.B. die Firewall angeben. Elegant ist die Adresse ntp.unsereschuldomain.de, da man den Dienst später auf einen anderen Server legen kann.

Linux-Clients mit systemd enthalten seit einigen Jahren einen Client timesyncd, der über /etc/systemd/timesyncd.conf und der Einstellung NTP=ntp.unsereschuldomain.de konfiguriert werden kann.

Ältere Linux-Clients benötigen z.B. eine passend konfigurierte ntpd-Installation oder einen täglichen Aufruf von ntpdate.

Andere Clients, deren NTP-Einstellungen man nicht beeinflussen kann (Prowise-Boards, Appliances), werden einen Zeitserver per DNS auflösen lassen. Diesen findet man im Logfile des DNS-Servers und kann ihn meist gefahrlos im lokalen DNS fälschen. Für bspw. time.android.com liefert man dann einfach die Firewall-IP-Adresse. Außerdem kann man den ganzen Pool an NTP-Servern die man über xyz.pool.ntp.org erreichen kann umleiten, indem man den DNS-Server anweist alle Domänen *.ntp.org mit der Firewalladresse aufzulösen. In dnsmasq z.B. mit der Zeile address=/ntp.org/10.10.0.254/ . It's tricky…