iptables blockt bestimmte ports

lookshe

lookshe

0
Also:

Auf dem Server werden standardmäßig alle ports geblockt und nur die benötigten freigeschalten. Das Problem ist nun, das regelmäßig ohne das Änderungen vorgenommen werden die Regel für Port 21 nicht funktioniert. Wenn man die Regel löscht und neu anlegt, geht es wieder etwa einen Tag gut und dann tut sich wieder nix.
Die Regel steht aber noch als ACCEPT in den iptables. Woran kann das liegen?!?

Zum System:

Ubuntu 6.06 LTS (alles auf dem aktuellsten Stand)
iptables v1.3.3
 
Evtl. gibt es Probleme mit dem conntrack_ftp. Schau mal in der /var/log/messages, ob es dort irgendwelche Fehler für eines der conntrack- oder ipt-Module gibt.
 
Hier mal ein kleiner Ausschnitt der Log.
Da war nur etwas zu conntrack zu finden, nicht ipt.

Code: 
Mar 21 16:16:07 alpha952 kernel: [   38.381301] ip_tables: (C) 2000-2002 Netfilter core team
Mar 21 16:16:07 alpha952 kernel: [   38.398463] Netfilter messages via NETLINK v0.30.
Mar 21 16:16:07 alpha952 kernel: [   38.400339] ip_conntrack version 2.4 (8192 buckets, 65536 max) - 312 bytes per conntrack
Mar 21 16:16:07 alpha952 kernel: [   39.612700] pci_hotplug: PCI Hot Plug PCI Core version: 0.5
Mar 21 16:16:07 alpha952 kernel: [   39.614879] shpchp: Standard Hot Plug PCI Controller Driver version: 0.4
Mar 21 16:16:07 alpha952 kernel: [   39.734266] NET: Registered protocol family 10
Mar 21 16:16:07 alpha952 kernel: [   39.734372] lo: Disabled Privacy Extensions
Mar 21 16:16:07 alpha952 kernel: [   39.734720] IPv6 over IPv4 tunneling driver
 
Anfangs lief es aber auf der selben Konfiguration immer wunderbar...
FTP läuft übrigends über proftpd. Und wenn wir den ftp-port ändern, dann geht es auch wunderbar.

Im ersten Post noch vergessen:
Normalerweise kommt ja eine Meldung, wenn ich per telnet auf den port gehe(Also vom proftpd, versionsnummer etc).
Diese kommt in besagtem Fall dann aber nicht mehr. Aber die Verbindung über diesen Port kann schon hergestellt werden. Also kann er ja nicht gesperrt sein.

Wie lade ich denn ip_conntrack_ftp bzw. ip_conntrack_tftp?
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben