web traffic rules for using masq

You use general masquerading rules - masquerading the Internal network behind the WAN interface, masquerading the DMZ network behind the WAN interface, etc. to allow traffic to travel out to the Internet, and for the responces to come back in to the machines on your private networks behind the ASL firewall.

You use specific SNAT rules to allow the outside world to see the services (FTP server, Web server, etc.) that you are running on machines that are located on your private networks.

Your packet filter rules must be set up to pass the services that you are presenting via your SNAT rules.

For your outbound packet filtering, you can allow everything to pass, without creating a major security breach, but for inbound traffic, you should create a service group that contains just the sub protocols that you wish to permit.

You wrote "You use general masquerading rules - masquerading the Internal network behind the WAN interface,  to allow traffic to travel out to the Internet, and for the responces to come back in to the machines on your private networks behind the ASL firewall."

I know masquerading setup a conduit for web traffic to go from the inside out.  But even with masquerading, don't I still need to setup a filter rules for the response that initiate from the masquerade connection to come back in?  Or does the general masquerade setting take care of that (since it is stateful)

alison

[ QUOTE ]
I know masquerading setup a conduit for web traffic to go from the inside out. But even with masquerading, don't I still need to setup a filter rules for the response that initiate from the masquerade connection to come back in? Or does the general masquerade setting take care of that (since it is stateful)

[/ QUOTE ]No, you need to create the proper filter rules.

I use a simple filter such as the one below:

Any   { My-Services }   Any   Allow

I then have defined the service group "My-Services" to include the following:

{ ping }
{ traceroute }
BT-6881
BT-6969
DNS
FTP
HTTP
HTTP-83
HTTPS
IAX-4569
IMAP
MS-RDC
NEWS
NTP
NTP-Async
POP3
PPTP
SMTP
SNMP
SNMP-LOG
SQUID
SSH
SYSLOG
Telnet
TIME
USERMIN
WEBMIN
WHOIS

In the above list, some items are standard entries, while others are custom port definitions that I have created myself to address a particular requirement.

It is much simpler to use a service group entry in a single packet filter definition, then it would be to create individual packet filters for every sub protocol that I wish to pass.

[ QUOTE ]
I know masquerading setup a conduit for web traffic to go from the inside out. But even with masquerading, don't I still need to setup a filter rules for the response that initiate from the masquerade connection to come back in? Or does the general masquerade setting take care of that (since it is stateful)

[/ QUOTE ]No, you need to create the proper filter rules.

I use a simple filter such as the one below:

Any   { My-Services }   Any   Allow

I then have defined the service group "My-Services" to include the following:

{ ping }
{ traceroute }
BT-6881
BT-6969
DNS
FTP
HTTP
HTTP-83
HTTPS
IAX-4569
IMAP
MS-RDC
NEWS
NTP
NTP-Async
POP3
PPTP
SMTP
SNMP
SNMP-LOG
SQUID
SSH
SYSLOG
Telnet
TIME
USERMIN
WEBMIN
WHOIS

In the above list, some items are standard entries, while others are custom port definitions that I have created myself to address a particular requirement.

It is much simpler to use a service group entry in a single packet filter definition, then it would be to create individual packet filters for every sub protocol that I wish to pass.