Saludos foro,

Les resumo mi problema, tengo configurado Shorewall con todas las seguridades que poseemos del caso en un servidor que sirve exclusivamente como firewall para la empresa.

Mi problema radica en que en el archivo del log predeterminado de shorewall que es /var/log/messages se llena con información consecutiva y repetitiva como la siguiente:


Aug 31 16:13:12 fw kernel: Shorewall:loc2net:REJECT:IN=eth1 OUT=eth0 SRC=192.168.1.252 DST=72.10.160.204 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=32747 DF PROTO=TCP SPT=59388 DPT=6667 WINDOW=5840 RES=0x00 SYN URGP=0
Aug 31 16:13:16 fw kernel: Shorewall:loc2net:REJECT:IN=eth1 OUT=eth0 SRC=192.168.1.99 DST=212.100.247.15 LEN=65 TOS=0x00 PREC=0x00 TTL=127 ID=32761 PROTO=UDP SPT=4912 DPT=53 LEN=45


Adicionalmente lo mismo sucede en el archivo squid.out ubicado en /var/log/squid/access.log y ambos archivos se llenan con la información que les detallo, consumiendo grandes cantidades del disco duro e impidiendo que al llenarse el espacio deje de funcionar el squid, su caché y por ende el servicio de internet en la empresa.

Haciendo un lookup a la dirección que aparece en dicha información (DST=72.10.160.204) me arroja lo siguiente:
nslookup 192.168.1.99

Server: 200.25.197.197
Address: 200.25.197.197#53

Non-authoritative answer:
204.160.10.72.in-addr.arpa canonical name = 204.160.10.72.dns1.sh3lls.net.
204.160.10.72.dns1.sh3lls.net name = u2pop.org.

Authoritative answers can be found from:
160.10.72.dns1.sh3lls.net nameserver = dns1.sh3lls.net.


Anexo la configuración del archivo /etc/shorewall/rules:

[root@fw squid]# cat /etc/shorewall/rules | grep -v "#"

DNAT net loc:192.168.0.250 tcp 80,6100 - 200.25.x.x
DNAT net loc:192.168.0.251:80 tcp 81 - 200.25.x.x
DNAT net loc:192.168.0.251 tcp 6200 - 200.25.x.x
DNAT net loc:192.168.1.252 tcp 110,143,443 - 200.25.x.x
DNAT net loc:192.168.1.252 tcp 80 - 200.25.x.x

DNAT net loc:192.168.9.70 tcp 80,10101 - 200.25.x.x
DNAT net loc:192.168.9.71:80 tcp 81 - 200.25.x.x
DNAT net loc:192.168.9.71 tcp 10101 - 200.25.x.x

DNS/ACCEPT $FW net
SSH(ACCEPT) loc $FW
Ping(ACCEPT) loc $FW


Ping(DROP) net $FW

ACCEPT net fw tcp 22,25,80,587,443,8080,110,143,3000,10000
ACCEPT $FW loc icmp
ACCEPT $FW net icmp

ACCEPT loc net tcp 3000,1494

REDIRECT loc:!127.0.0.1 3128 tcp 80
ACCEPT loc:192.168.0.115,192.168.0.117 net all
Trcrt/ACCEPT loc net
Ping/ACCEPT loc net
ACCEPT loc:~00-19-e3-3b-c6-10,~00-1b-63-0a-6c-fe,~00-1e-37-1c-ed-ef,~00-23-32-b6-87-dc,~00-1d-e0-06-d7-4b,~00-1c-b3-bd-73-07,~00-1B-38-5D-20-AA,~00-1D-D9-1B-71-A9,~00-22-19-E1-40-79 net all
ACCEPT loc:~00-1B-38-5D-20-AA net all
ACCEPT loc:10.0.0.103,192.168.5.44 net tcp 1863
ACCEPT loc:~00-1D-D9-1B-71-A9 net all
ACCEPT loc:~00-25-00-48-d0-88 net all
ACCEPT loc:~00-25-4b-ce-3f-46 net all
ACCEPT loc:~00-1E-37-26-CF-33,~00-06-4f-3d-77-36 net tcp 1863
ACCEPT loc:192.168.1.252 net tcp 25
REJECT loc net tcp 25
ACCEPT loc:192.168.3.0/24 net all
ACCEPT loc:192.168.1.240 net all
ACCEPT loc:192.168.1.241 net all
ACCEPT loc:192.168.2.240 net all
ACCEPT loc:192.168.3.240 net all
ACCEPT loc:192.168.0.153,192.168.0.118 net all
ACCEPT loc:192.168.7.153,192.168.1.149 net
ACCEPT loc:10.0.0.153,10.0.0.109,192.168.2.130,10.0.0.115,10.0.0.120,192.168.5.34,192.168.5.43,192.168.5.45,192.168.5.46,192.168.5.33,192.168.5.39 net all
REJECT loc net:76.73.50.99 all
Time/ACCEPT loc net
NTP/ACCEPT loc net
ACCEPT loc net tcp 20,21,22,26,80,81,88,143,443,465,587,993,8080,10000


Anexo la configuración del archivo /etc/shorewall/interfaces:

net eth0 detect dhcp,tcpflags,nosmurfs,routefilter
loc eth1 detect routefilter,tcpflags,routeback,nosmurfs
vpn ppp+


Anexo la configuración del archivo /etc/shorewall/zones:

fw firewall
net ipv4
loc ipv4
vpn ipv4


Si se necesita información adicional lo proporcionaré con gusto.

Muchas gracias de antemano, me encuentro atento a todas sus respuestas.

---

\../_ Metal por sobre todas las cosas _\../

Tus equipos están tratando de utilizar un DNS externo para resolver los nombres. verifica que estén abierto el acceso desde la zona loc hacia la zona net para el puerto 53 por tcp y udp.

Si en realidad estás cerrando el acceso a los DNS externos, revisa la configuración de los equipos que aparecen en la bitácora y configura a éstos un DNS dentro de tu LAN.