Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 2 subscribers
  • Views 4028 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Best Practices Packet Filter Rules?

mrainey
I have 2 asg appliances (a 220 and a 110) installed by consultants connecting to the Internet and to each other via site to site vpn. I'm not sure why some of the stuff they put in is there.
The branch office, (the 110) has just 1 rule, 1 masq, no dnat and the site2site vpn has auto packet filter set.
The masq says any to external. Shouldn't that be internal to external?
The PF rule says internal any any. Isn't that the default, that the internal network can initiate any connection? Is that rule necessary? Should it be more restrictive?
On the main office (the 220, where there are web servers, databases, etc) there is a PF rule that says any any https. Why do I need this. I can webadmin my remote asg whether this rule is on or off.
Some real life samples of some best practices rule sets would be really helpful.


This thread was automatically locked due to age.
Parents
  • 0
    MASQ: there should be a MASQ setup for each internal network or DMZ.

    DNAT: not needed unless you want to allow traffic in from the internet. 
    the 'auto packet filter' is allowing traffic in from the VPN. review and tighten if needed.

    PF: any/any is the 'quick and dirty' way to setup a firewall. more restrictive would probably be better in a business environment.

    The HTTPS rule _may_ be allowing external traffic into the webservers, etc. It should definitely be reviewed and tightened down.

    examples: have you read the docs in the knowledgebase?
    http://www.astaro.com/kb/

    Barry
  • 0 in reply to BarryG
    SO if users at home SSL into the ASG, do I need a spedific rule to allow them to RDP into Terminal Server (or their desktop)? (Right now a Netgear router port forwards the RDP sessions to their desktop, would it be better to move that function to the ASG?) or does the fact that the local network is available preclude the need for those rules?
  • 0 in reply to mrainey
    Assuming they're VPN'ing into the right office... 
    If they use the VPN, nothing other than packetfilter rules should be needed (to allow the traffic). If you have the auto rules or one for VPN/All/All setup, that should already work.

    Barry
Reply
  • 0 in reply to mrainey
    Assuming they're VPN'ing into the right office... 
    If they use the VPN, nothing other than packetfilter rules should be needed (to allow the traffic). If you have the auto rules or one for VPN/All/All setup, that should already work.

    Barry
Children
No Data