Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 2 subscribers
  • Views 2124 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

filter rules

Jens Bjerre
Hi
Is it really safe to have a filter rule saying: any - any - any - allow. I have seen on many msg that you need to have a filter rule like that, to be able to go to the internet????

regards

Jens


This thread was automatically locked due to age.
Parents
  • 0
    I think that rule would be quite TOO open; in my experience a much better one is:

    internal_net any any allow

    which allows the machines in the internal side of the ASL to use every port/protocol they need. This is carried out by the iptables stateful nature and you can have only that rule in your box, still being quite "secure".

    Of course you can even write some explicit rules to allow only the services you need from the internal net to the outside.

    hope that helps

    Regards
  • 0 in reply to giallu
    Hi,

       I tried to use this rule:
        Any -> Any -> Any allow to troubleshooting my email server problem.
       And i still have a lot of things blocked in the log file:
    source: xxx.xxx.xxx.xxx port:80 -> destination: my external firewall interface port:above 1024
       Any idea about this?

    TIA

      [:S]
  • 0 in reply to newbie_01
    hi,

    it seems that a www-server wants to send data to a client of your site (ext. eth). This meens that there must be an established http-session. Look at the last opend URL...

    ...or it could be a redirected advertising browser window...;-) Maybe..  

    claus
  • 0 in reply to ClausP
    Hi,

       Really it is what you said, ClausP, it is the free mail services that is trying to send emails to our email servers, but could not establlish the connection. There was a routing problem, the packets didn't know how to get there.   [:)]
       Thank you for your tip.

    TIA
    Newbie

    [ 02 October 2001: Message edited by: newbie ]
Reply
  • 0 in reply to ClausP
    Hi,

       Really it is what you said, ClausP, it is the free mail services that is trying to send emails to our email servers, but could not establlish the connection. There was a routing problem, the packets didn't know how to get there.   [:)]
       Thank you for your tip.

    TIA
    Newbie

    [ 02 October 2001: Message edited by: newbie ]
Children
No Data
Unfiltered HTML