Spoofing

[ QUOTE ]
I am able to access my FTP server that is in my DMZ  from my Internal network using my outside, Public IP. Isn't this spoofing?   

[/ QUOTE ]
No, that's a result of DNAT. 

 [ QUOTE ]
 What packet filter rule can I set up to stop this?  

[/ QUOTE ]
Perhaps you could try creating  more specific DNAT rules (from/to vs. just "to"), however I wouldn't advise it since you'd have to create network groups for all networks  except  your DMZ (and internal) networks (that's alot of definitions).

Here, we've simply enabled an internal DNS server to serve internal IP's which eliminates 99% of this "problem" In the end, however, it's really not a problem at all since you're getting to the same place (unless we're talking about thousands of connections slowing down a heavily loaded firewall). Because your internal traffic has to pass through the firewall anyway, the only extra step is the DNAT from the external target IP to the internal target IP. 

HTH,
-Rick   

[ QUOTE ]
I am able to access my FTP server that is in my DMZ  from my Internal network using my outside, Public IP. Isn't this spoofing?   

[/ QUOTE ]
No, that's a result of DNAT. 

 [ QUOTE ]
 What packet filter rule can I set up to stop this?  

[/ QUOTE ]
Perhaps you could try creating  more specific DNAT rules (from/to vs. just "to"), however I wouldn't advise it since you'd have to create network groups for all networks  except  your DMZ (and internal) networks (that's alot of definitions).

Here, we've simply enabled an internal DNS server to serve internal IP's which eliminates 99% of this "problem" In the end, however, it's really not a problem at all since you're getting to the same place (unless we're talking about thousands of connections slowing down a heavily loaded firewall). Because your internal traffic has to pass through the firewall anyway, the only extra step is the DNAT from the external target IP to the internal target IP. 

HTH,
-Rick