Drop/Reject Rules don't work,,

Yeah, I have filtered ICMP and turned ICMP forwarding off. Also I have read on this board that it is better to have all of the allow rules first and the Deny's last. That sounds right.. 

I tried putting the deny's up higher and it just denied everything(even though the Deny rule was NetBIOS only) That is very weird.. Man,, this is frustrating... 

Matt

well, why don't you post your rules? Also, are you sure your NAT settings are correct as well as the default gateway, maybe it's not the packet filter blocking you traffic. Do you see the traffic being blocked in the filter live log?

Here are my rules under "Packet Filter" and then sub heading "Rules"

  1  Remote DSL Line Any Any Allow  edit del move 
  2  LAN IPs Any Any Allow  edit del move 
  3  Any HTTP Any Allow  edit del move 
  4  Any HTTPS Any Allow  edit del move 
  5  Any FTP Any Allow  edit del move 
  6  Any DNS Any Allow  edit del move 
  7  Any POP3 Any Allow  edit del move 
  8  Any SMTP Any Allow  edit del move 
  9  Any Any Any Drop  edit del move 

Now I have also tried to specifically deny NetBIOS/ping/traceroute before rule 9 and without rule 9.. Do you see anything wrong?

Thanks,

Matt

OK. First of all, you are on DSL, right? Have you got an internal HTTP,HTTPS,DNS,FTP,POP3 and SMTP-Server on your LAN you want to have access to via internet (incoming traffic)? If not, you don't need rule 3-8. The second thing is that you don't need the deny-rule at the end of the list, because ASL denies everything that is not allowed by a rule.

If you have just a home-LAN and Internet (DSL) you need only one rule to allow all internal clients to access the internet, everything else will be blocked:

internal_network Any Any Allow

By the way, what is the purpose of your first rule?

Well,, I have business grade DSL and a server running at home. Rules 3-8 are needed. The first rule is a friends DSL line that I allow full access to my network with. 

rule 2 is my "internal_network any any"

I will take rule 9 to see if it makes a difference.. 

On a side note my business DSL (Qwest sells it for home use) is fully routed. So, I have a legit /30 for the wan side and legit /29 for the LAN side. I am not running NAT. Does that make a difference?

Thanks,

Matt

Well,, I have business grade DSL and a server running at home. Rules 3-8 are needed. The first rule is a friends DSL line that I allow full access to my network with. 

rule 2 is my "internal_network any any"

I will take rule 9 to see if it makes a difference.. 

On a side note my business DSL (Qwest sells it for home use) is fully routed. So, I have a legit /30 for the wan side and legit /29 for the LAN side. I am not running NAT. Does that make a difference?

Thanks,

Matt

Well it may be that you have an server at home but why do you allow any host from the internet to connect to any host in your home net with the specific services. it may be a more secure way to make rules like :
any http "myhttpserver" allow
any https "myhttpserver" allow
and so on. if you make it like you do your firewall could make only his half work.

firebear

Well yeah I can do that ;-) I am just trying to keep it as simple as possible. Plus,, this isn't a high hit server- and I'm not really worried about the firewall being overworked- It's an AMD 2000+ with 1gig of memory. LOL,, and  Right now there really isn't any security anyway-- it doesn't block anything ;-))>

Matt

could you post the IP setup of your network?