[kubuntu-firewall] pingo ma non navigo

[maulattu]

ciao gente.
dopo la ricompilata del kernel (2.6.20-ck1) mi capita questo strano problema, cioè che riesco a pingare (ho un router) indirizzi esterni (www.google.it), ma non riesco assolutamente a navigare (sia firefox, konqueror, ma anche con apt-get).
penso sia un problema di firewall (uso firestarter per comodità). vi allego l'output di "iptables -L" e di "dmesg" quando cerco di navigare (o, comunque, di accedere alla rete tipo con apt-get update). anche cambiando DNS non succede nulla. riesco a navigare solamente se stoppo firestarter (che cancella tutte le tabelle di iptables).
quando avvio firestarter (parte tranquillamente, ma non navigo più), con dmesg mi appaiono questi log più volte:

Codice:

[...]can't load conntrack support for proto=2

nel momento in cui lo vado a stoppare, cancella tutte le tabelle di iptables, riesco a navigare, ma dà un "[fail]" come risultato.
Ho anche seguito le dritte riportate in http://www.fs-security.com/docs/kernel.php per la compilazione, ma non cambia nulla... che può essere?
chi saprebbe darmi qualche dritta?

[W.S.]

il problema è appunto il conntrack. Immagino che nelle regole di firewalling tu abbia una cosa tipo
"iptables -t filter -A INPUT -m state --state ESTABLISHED, RELATED -j ACCEPT" (non ho tempo di guardare sorry)
lo stato delle connessioni è gestito appunto dal conntrack, se non riesce a caricare il modulo allora non riesci ad accettare i pacchetti che fanno parte di connessioni richieste o stabilite.
Soluzione semplice (ma sporca):
al posto delle regole conntrack metti le corrispettive regole che abilitano i pacchetti "di risposta" (ad esempio per una connessione abilitata verso la porta 80, la regola da mettere è abilita quello che viene dalla porta 80).
Questo implica però che le connessioni provenienti dalla porta 80 verranno accettate anche se non richieste!!!
Soluzione giusta:
Verifica di compilare i moduli conntrack!, se sono inclusi nel .config che usi verifica perchè non li compila, se li compila, verifica perchè non riesce a caricarli. (come da log che tu stesso hai postato).

[maulattu]

Quote:

Originariamente inviato da W.S.

il problema è appunto il conntrack. Immagino che nelle regole di firewalling tu abbia una cosa tipo
"iptables -t filter -A INPUT -m state --state ESTABLISHED, RELATED -j ACCEPT" (non ho tempo di guardare sorry)
lo stato delle connessioni è gestito appunto dal conntrack, se non riesce a caricare il modulo allora non riesci ad accettare i pacchetti che fanno parte di connessioni richieste o stabilite.
Soluzione semplice (ma sporca):
al posto delle regole conntrack metti le corrispettive regole che abilitano i pacchetti "di risposta" (ad esempio per una connessione abilitata verso la porta 80, la regola da mettere è abilita quello che viene dalla porta 80).
Questo implica però che le connessioni provenienti dalla porta 80 verranno accettate anche se non richieste!!!
Soluzione giusta:
Verifica di compilare i moduli conntrack!, se sono inclusi nel .config che usi verifica perchè non li compila, se li compila, verifica perchè non riesce a caricarli. (come da log che tu stesso hai postato).

innanzitutto grazie x le dritte... effettivamente, leggiucchiando anche su ubuntuforums.org, questo sembra essere dovuto ad un piccolo cambiamento nel kernel .20. ho rimediato ricompilando il kernel brutalmente con tutti i moduli conntrack, anche se una soluzione più elegante è qui:
http://www.ubuntuforums.org/showthread.php?t=359298