Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 2 subscribers
  • Views 4028 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Best Practices Packet Filter Rules?

mrainey
I have 2 asg appliances (a 220 and a 110) installed by consultants connecting to the Internet and to each other via site to site vpn. I'm not sure why some of the stuff they put in is there.
The branch office, (the 110) has just 1 rule, 1 masq, no dnat and the site2site vpn has auto packet filter set.
The masq says any to external. Shouldn't that be internal to external?
The PF rule says internal any any. Isn't that the default, that the internal network can initiate any connection? Is that rule necessary? Should it be more restrictive?
On the main office (the 220, where there are web servers, databases, etc) there is a PF rule that says any any https. Why do I need this. I can webadmin my remote asg whether this rule is on or off.
Some real life samples of some best practices rule sets would be really helpful.


This thread was automatically locked due to age.
  • 0
    MASQ: there should be a MASQ setup for each internal network or DMZ.

    DNAT: not needed unless you want to allow traffic in from the internet. 
    the 'auto packet filter' is allowing traffic in from the VPN. review and tighten if needed.

    PF: any/any is the 'quick and dirty' way to setup a firewall. more restrictive would probably be better in a business environment.

    The HTTPS rule _may_ be allowing external traffic into the webservers, etc. It should definitely be reviewed and tightened down.

    examples: have you read the docs in the knowledgebase?
    http://www.astaro.com/kb/

    Barry
  • 0 in reply to BarryG
    Thanks, this will help me clean up some of the jumble of redundant and unnecessary rules left on my firewall. I have looked at a lot of stuff in the kb, port forwarding for my phone system, DMZ web servers, etc. but I have not found a "Typical best practices" rule set. But I am reading thru the packet filter articles and the best advice I found so far was to group your typical LAN services (FTP, HTTP etc) so I can create one rule to allow the group.
  • 0 in reply to BarryG
    SO if users at home SSL into the ASG, do I need a spedific rule to allow them to RDP into Terminal Server (or their desktop)? (Right now a Netgear router port forwards the RDP sessions to their desktop, would it be better to move that function to the ASG?) or does the fact that the local network is available preclude the need for those rules?
  • 0 in reply to mrainey
    Assuming they're VPN'ing into the right office... 
    If they use the VPN, nothing other than packetfilter rules should be needed (to allow the traffic). If you have the auto rules or one for VPN/All/All setup, that should already work.

    Barry