Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 2 replies
  • Subscribers 2 subscribers
  • Views 895 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Example configuration NAT and Packet Filter?

Walt
HI, I have just installed V4.017, which seems to work well, but the configuration is a bit complex for me. I need an example for Masquerading, NAT and Packet rules that give me maximum protection of the internal network (privat IPs). I want to firewall as closed up as possible. I operate several pc behind firewall, so I need Masquerading. I also have a HTTP server that must be accessible from Internet so I need NAT (this seems to work). BUT: what is the most restricitve set of packet rules that works with above? I use presently ANY TCP_UDP_ALL ANY ALLOW then it works. Are there not too many ports open this way?
Anyone have an example?  


This thread was automatically locked due to age.
  • 0
    Walt,
    for masquerading define a rule:
    Network: Your internal network
    Interface: Your external interface.
     If your Webserver should be accesable from the outise, define a DNAT:
    From: ANY 
    To: Your external Interface
    Service: http 
    Change destination: the IP of your internal Webserver

    In addition your have to define packet filter rules:
    For your Webserver make a rule:
    From: ANY TO: your Webserver Service: HTTP allow
    And for your internal users, who should have access to the Internet:
    From: Your internal Network To: Any Service: http Action:ALLOW
    With this rule, your network is allowd to access the service http. Please define a seperate rule for every service the users should have access, e.g. smtp, pop , ftp...
    Furthermore please define two rules on the top of your ruleset:
    1: From ANY To: your external Interface Service:135 Action Drop
    #To drop the Blaster requests
    2. From: Internal network To: Internal Broadcast Service: ANY Action[:D]rop
    # Drop internal broadcasts

    And please delete your ANY ANY rule 
     

    Greetz Bagira  
  • 0 in reply to bagira
    If you want to check what ports are open, you can use:

    http://scan.sygate.com

    or

    https://www.grc.com/x/ne.dll?bh0bkyd2

    Both will scan your ports, and report which are open.
    It is also a good way to test if the portscan detection is working fine     

    /edit:
    So only port 80 should be open.