To MASQ or not to MASQ, that is the question.

[ QUOTE ]
I have read that there should be a MASQ setup between the internal and external interfaces. Why? I do not have this and all seems to work fine for me, and it has been ever since I started using ASL two years ago.

[/ QUOTE ]Every little SOHO 4-port router that is available today have NAT functionality built into it. With ASL you have to create a masquerade rule to NAT your Internal network to the External interface, in order to achieve the same thing.
Perhaps you should tell us how you got the machines on your Internal network to communicate with the outside world without implementing the standard masquerading rule.

[ QUOTE ]
Is there any benefit/reason in doing this? 

[/ QUOTE ]Yes. It provides general access to the Internet from the respective private networks that are being masqueraded. Most of us cannot get by without it. You appear to be the exception.

[ QUOTE ]
I have read that there should be a MASQ setup between the internal and external interfaces. Why? I do not have this and all seems to work fine for me, and it has been ever since I started using ASL two years ago.

[/ QUOTE ]Every little SOHO 4-port router that is available today have NAT functionality built into it. With ASL you have to create a masquerade rule to NAT your Internal network to the External interface, in order to achieve the same thing.
Perhaps you should tell us how you got the machines on your Internal network to communicate with the outside world without implementing the standard masquerading rule.

[ QUOTE ]
Is there any benefit/reason in doing this? 

[/ QUOTE ]Yes. It provides general access to the Internet from the respective private networks that are being masqueraded. Most of us cannot get by without it. You appear to be the exception.

[ QUOTE ]
Perhaps you should tell us how you got the machines on your Internal network to communicate with the outside world without implementing the standard masquerading rule.

[/ QUOTE ]

This is quite possible if you proxy everything.  If you run on all proxies (HTTP in Standard mode, DNS, POP3, and SMTP), you don't need a masquerade rule or a single filter entry.  Proxies are very popular on sensitive networks because they can provide a superb level of security.  ("No rules, just right" - sorry, that line was too hard to resist!)

-Steve

Color me stupid . . .

In front of my ASL box I have a DSL NAT router.
This is all I had prior to using ASL. At that time this did all my "firewalling" (yeah, I know, NAT/PAT a firewall does not make).
On this NAT router are static routes to the internal network and DMZ, aren't there. Oops, forgot about that.
I configured the NAT router over two years ago and have never changed that part of the config.
I understand about masquerading and NAT. Understanding how my ASL box was working without a MASQ rule was confusing me. Doh!
Well, I have now removed the static routes on my NAT router and replaced them with MASQ rules on the ASL box.  :-)

In the words of someone else . . .   Stupid is as stupid does!

None the less, thanks for all the replies.

[ QUOTE ]
This is quite possible if you proxy everything. If you run on all proxies (HTTP in Standard mode, DNS, POP3, and SMTP), you don't need a masquerade rule or a single filter entry.

[/ QUOTE ]Unfortunately, there aren't proxies available for all the different sub protocols that I run.