just a simple packet filter rule

[ QUOTE ]
 change the rules to that:

LAN_Network__ DNS Internet_Interface__ Allow
LAN_Network__ HTTP Internet_Interface__ Allow

anyway it doesn't work. i tried diffrent variations but it doesn't work at all...

[/ QUOTE ]

It is highly unlikely that the final destination of any of your outbound DNS and HTTP traffic is your Internet _Interface. It therefore seems quite pointless to incorporate the Internet_Interface in any outbound packet filtering rules. Don't confuse traffic going THROUGH your Internet_Interface with traffic going TO it. Any packets from the Internal network that are leaving the local LAN for locations out on the Internet somewhere, needs to have packet filter rules that use "Any" as the destination, in order for the rules to be effective.

Reading your message, I have to wonder why you want to block all the outbound traffic except DNS and HTTP. ASL has proxies for both of those, so why not use the proxies?  Then you could block all the direct traffic from the Internal network to the outside world.

I do the opposite on my network. I allow all the outbound traffic to go through, except for ports 135, 137, 138, 139 & 445 (the Microsoft netbios ports).

I think of a private network the way I think of a house. I want it to be secure and locked down, I want intrusion detection and alarms, but I do refrain from painting my windows black, so that I can no longer see out. Doing that, in my view, although it is technically possible, has very little to do with implementing security. I therefore prefer to have simple filter rules such as these:

Any Any Broadcast32 Drop
Internal_Network { Drop-Group } Internal_Interface__  Drop 
Internal_Network { Drop-Group } Internal_Broadcast__ Drop
Internal_Network { Drop-Group }  Any Drop
Internal_Network  Any Any Allow
Any { Allowed-Services } Any Allow

Then I put all the netbios ports into my Drop-Group, and all the services that I want into the Allowed-Services group.

If you block everything except DNS and HTTP, you have then created a LAN where email, news, FTP, network time sync, VPNs and a number of other usefull services won't work.     

thx for help velvet

seems like i misunderstood how the asl treats the packet or how the packet filter has to be set in order to work properly. 

rules for the sidewinder and winroute for instance work different. i used dns and http only for test purpose so i could make sure i understand how the packet filter works.

in the end it makes sense. 

i allow every kind of service with "Internal_Network Any Any Allow". after that i create a rule "Any Any Any Drop" which is 
the last rule. no matter how much interfaces, networks an dmz i have, only the internal_network will be able to communitcate with the internet. 


"Any Any Broadcast32 Drop"   what kind of service exactly is broadcast32?

What do you think of a combination of proxy and nat?    

[ QUOTE ]
"Any Any Broadcast32 Drop"   what kind of service exactly is broadcast32?

[/ QUOTE ] Broadcast32 is a network definition that you will have to define yourself, since it does not come predefined in ASL v4.

Broadcast32 - IP Addr: 255.255.255.255 - Netmask: 255.255.255.255

It is the global broadcast address for the entire Internet.



[ QUOTE ]
 What do you think of a combination of proxy and nat? 

[/ QUOTE ] I use both. I try to make use of all the features in my ASL box as best as I can.  Did you have something specific in mind?  

No it just came to me that both services could be used together.  
  

No it just came to me that both services could be used together.  
  

Well, you can use SNAT rules to move a service from one port to another. I have a web server on one internal machine that I map to my External interface. I also have a mail server on my internal network with webmail access, which I map out to port 88 on the External interface, since port 80 is already used by the web server. The mail server port 80 to 88 remapping is done like this:

WebMail  Any -> External_Interface__ / HTTP-88  None  mail.mynet.local / HTTP