"Any" Service still blocking outgoing connections

Ok, I fixed it, if anybody else has this issue it's because I did not have the destination in my packet filter set to ANY, it was going to WAN(Network).

I don't understand this situation -- I have set the rule to "any" also but I don't want "any", I want it to go to the WAN!  

If I say "any" and I add a DMZ, then how would I separate anything from anything else?  I would want internal machines to go to the WAN, but the DMZ machines (which would be my web server, etc.) to go ONLY to the WAN, not have access to the internal network -- otherwise why have a DMZ if you can't strangle its internal access?

I'm confused.  I have set up lots of firewalls with this kind of situation, what's happening here that I don't get?

If I say "any" and I add a DMZ, then how would I separate anything from anything else?  I would want internal machines to go to the WAN, but the DMZ machines (which would be my web server, etc.) to go ONLY to the WAN, not have access to the internal network -- otherwise why have a DMZ if you can't strangle its internal access?

I think that you do not have a rule which permits ip's out off the DMZ as source for connections, or just a proxy?

DMZ ip's are in nearly 99,99% the destination and do not start a connection.

In your case the rule is 'any -> DMZ:  Service (ex: Port:80) permit' and NOT 'DMZ -> Any: Service (ex. Port 80) permit' !

Agreed that most DMZ connections are inbound, e.g. a web server; but what about a mail server who wants to send?  That's a new connection from the DMZ.  And, I don't want the DMZ machines to be able to contact regular (e.g. office network) machines, they always have to initiate the conversation (e.g. POP3 to get their mail from the server).  Does your rule structure above hold for this also?

I guess I'm used to a situation where I can construct a rule that, for example, limits SMTP inbound to one server box only, then limits POP from the office lan to the DMZ only to that server, etc.  I'm just experimenting with this so I haven't tried it out but that's my confusion.  The syntax in Astaro's commands seems awkward.

Agreed that most DMZ connections are inbound, e.g. a web server; but what about a mail server who wants to send?  That's a new connection from the DMZ.  And, I don't want the DMZ machines to be able to contact regular (e.g. office network) machines, they always have to initiate the conversation (e.g. POP3 to get their mail from the server).  Does your rule structure above hold for this also?

I guess I'm used to a situation where I can construct a rule that, for example, limits SMTP inbound to one server box only, then limits POP from the office lan to the DMZ only to that server, etc.  I'm just experimenting with this so I haven't tried it out but that's my confusion.  The syntax in Astaro's commands seems awkward.

Agreed that most DMZ connections are inbound, e.g. a web server; but what about a mail server who wants to send?  That's a new connection from the DMZ.  And, I don't want the DMZ machines to be able to contact regular (e.g. office network) machines, they always have to initiate the conversation (e.g. POP3 to get their mail from the server).  Does your rule structure above hold for this also?

I guess I'm used to a situation where I can construct a rule that, for example, limits SMTP inbound to one server box only, then limits POP from the office lan to the DMZ only to that server, etc.  I'm just experimenting with this so I haven't tried it out but that's my confusion.  The syntax in Astaro's commands seems awkward.

The easierst and quickest way is to use the asl proxy (smtp/pop3) for in- and outbound traffic. ;-)