Wir verwenden Zentyal 3.1 (Ubuntu 12.04.2 LTS - Kernelversion: 3.2.0.38-generic) als Proxy/Firewall für unseren Standort. Momentan sind die Firewall-Regeln so eingestellt, dass alles zugelassen wird, dennoch werden SIP-Pakete verworfen. Dies wird durch das Modul nf_conntrack_sip verursacht.
Wenn ich das Modul + das Modul nf_nat_sip manuell entlade, funktioniert alles wie erwartet. Der Befehl, den ich zum Entladen verwendet habe, ist entweder (beide funktionieren):
rmmod nf_nat_sip
rmmod nf_conntrack_sip
oder
modprobe -r nf_nat_sip
modprobe -r nf_conntrack_sip
Nach einem Neustart werden diese Module natürlich wieder geladen, daher habe ich folgende Zeilen zu /etc/modprobe.d/blacklist.conf hinzugefügt
blacklist nf_nat_sip
blacklist nf_conntrack_sip
Dies hat das Laden der Module jedoch nicht verhindert. Ich habe sogar eine neue Datei erstellt, /etc/modprobe.d/blacklist-custom.conf mit denselben zwei Zeilen (und einer leeren neuen Zeile), aber die Module werden beim Booten trotzdem geladen.
Dann habe ich ein Skript ausprobiert, das die Module in Upstart entlädt, nachdem die Netzwerkgeräte hochgefahren sind, und das funktioniert. Aber nach einiger Zeit werden die Module durch einen unbekannten Auslöser erneut geladen.
Ich möchte, dass diese Module dauerhaft entladen werden, habe aber im Moment keine Ahnung von anderen Lösungen.
Antwort1
Lösung für mich
In: /etc/zentyal/firewall.conf Entfernen aus iptables_modules = nf_conntrack_sip, nf_nat_sip
Zentyal neu starten