Firewall Ruleset best practice (Ubiquiti EdgeRouter)

Hallo zusammen,

bei EdgeMax (OS des Edge Router & Fork von Vyatta) kann man für die Firewall Regelsätze (Rulesets) mit entsprechender Richtung (IN, OUT, LOCAL) der Kommunikation definieren. Ich nehme an bei anderen Systemen ist es ähnlich/gleich, jedoch habe ich bisher keine Erfahrung in die Richtung.

Nunmehr ist es soweit, dass ich meine Firewall konfigurieren muss/will. Hier stellt sich mir aber schon seit langen, auch allgemein gesehen, was „best practice“ in Bezug auf Firewall Konfiguration ist. Bisher habe ich für mich folgendes mitgenommen:
• Aliase verwenden, und nie (sofern möglich) direkt IP‘s verwenden
• Möglichst wenig Regeln definieren (additiv oder subtraktiv)

Wenn man nun von folgendem Beispiel ausgehen würde:

• Netz A, B & C darf Internet
• Netz A darf Netz B
• Netz B darf Netz A
• Netz C darf nicht Netz A, B
• Netz A, B darf nicht Netz C

Dann würde ich die Regeln (Abstrakt gesehen) folgendermaßen konfigurieren:

Ruleset Netz A IN: Default Action Accept
Rule 10 - drop Netz C all new & established & related & invalid
Rule 20 - allow all new & established & related
Rule 30 - drop all invalid

Ruleset Netz B IN: Default Action Accept
Rule 10 - drop Netz C all new & established & related & invalid
Rule 20 - allow all new & established & related
Rule 30 - drop all invalid

Ruleset Netz C IN: Default Action Accept
Rule 10 - drop all invalid

Nun ergeben sich mir die Fragen

• Wäre die Konfiguration / Ansichten „best practices“?
• Für was würde man Outgoing Rulesets verwenden? Nur wenn die Konfiguration „weniger“ wäre oder wenn man Ausgehende Verbindungen limitieren will?

Ich freue mich auf eure Antworten!

PS: Local bedeutet bei Ubiquiti das Gerät selber, also Traffic der zu dem Gerät geht