Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 3 subscribers
  • Views 2377 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

General Astaro Comments

Darryl Smith
G'Day...

I downloaded a copy of ASTARO yesterday over modem and I am impressed... I do have a few comments though.

1. PPP is certainly something that should be accepted, even if it is not supported. Many people have a dialup backup connection even if they do have some other type of connection. It makes sense to have support for PPP internally. I know that it might be an area that has little interest, but it would make the product more useful. Much more useful.

2. I do not like the idea of requiring a router to have a HDD running all the time. I would love to have...
   a) The root partition and all except log partitions to be read only most of the time.
   b) The config files maybe in a read/write area on the HDD, but have another partition on the HDD where the settings are saved read only.
   c) In the case of reboot without shutdown have the config partition reformatted as a matter of course and files copied back

Translating, I would love to have most of the O/S on READ ONLY MEDIA, and only have config files and logs on R/W media, and on emergency reboot, just trash the logs (optionally) rather than recover them. I want to be able to get a router running over the phone with my mother at the console after a crash.

3. There is really no need to require 1.5 GBytes of HDD... An install only really needs a max of 150 MBytes, so the rest is for cache and logs. It should be my choice to use a 500 MByte HDD if I need to.

4. The WWW interface allos turning off the MAIL, HTTP and mail cacheing. These could be optionally installed. 

5. Include SNORT (www.snort.org) into the install. We all need to be implementing more than just portscan detection.

6. How about a license for a non-commercial site. I do a bit of consulting, but it is not really commercial. I have a number of computers here, but cannot justify the full cost of the smallest license for home use. BUT, I believe in paying for software so I would like to pay for something. How about a HOME NETWORK license, for under US$100? That is still expensive, but manageable. Or should we only register for yearly up2date subscription?

7. A manual is needed. If you need someone to proof-read let me know. 

8. My biggest complaint with the product? MORE is missing... It is now called LESS. An ALIAS fixed this in BASH

9. Needing to know about SCP to transfer files is a subtle way of suggesting that you do not contaminate the system by loading FTP or TELNET. The other way is to open up the firewall for all ports from the internal network and use NetCAT to get WGET and then place files on a WWW site... Not recomended.

10. Detauils on the software and hardware for LCD would be useful. I have an LCD on one LINUX box here and it is cute. Would love that on my router.

11. An option in the WWW interface to log all entried to another PC or to the serial port would be cool... Since I cannot use PPP it would be cute to have the serial port connect to a serial logging device logging all messages, just incase the machine gets totally hacked and I loose all the logs.

12. I do not like the idea of no ISA card, but I know why. Not much can be done, but when evaluating, it is a pain.

13. The bootable ISO is a good idea. Just required four hours on my dialup modem.

14. Reading the install guide is essential. *REALLY*. But once you read it things are not too bad.

15. No X11 is good. Should be more (less) of it. 

16. Up2Date is cool, but what mods of my own will it wipe out? 

Anyway I think that is all... Sorry about all the points, but they are my thoughts'

Darryl


This thread was automatically locked due to age.
Parents
  • 0
    Just to follow up, the way that I can see that Astaro works is that it picks up the ETHnn interfaces in the IPCONFIG. According to the Kernel Hackers Guide, these names can be anything, and there is no reason why a PPP connection cannot be named ETH9.

    Getting PPPD to accept the LINKNAME paramater is another issue, but I might be doing something wrong here... I am almost certain that PPP is possible

    Darryl
  • 0 in reply to Darryl Smith
    I agree with many of your points.  I would also  like to expand on some, if I may.  

    + I'm not sure about read only.  I know that Secure's Sidewinder firewall uses type enforcement, and that it is open source so maybe seeing that implemented would be nice.  Full admin access is only allowed when the firewall is in admin mode (or basically shutdown so that no traffic is going through the firewall) and only at the console.

    + Not only SNORT, but TCPDump would be nice.  I can not count the time I would have saved troubleshooting if I would have had TCPDump.

    + I too mentioned the manual and one is in the works, but needs to have more information.

    + One more thing I liked about Secure's Sidewinder firewall is that it has strikeback capability.  Things like Dig, traceroute, ping, nslookup, triggered on a scan or a probe.  This function was fully configureable, and makes it much easier for admins to diagnos positives from false positives.

    Overall, I think ASL is a great product, and has a lot of potential.  I'm not entirely sure what Team Astaro has in mind for it (direction), but I know I would like to see it as a more robust firewall product.  Keep up the great work guys!

    -spid3r
  • 0 in reply to spid3r
    Hi guys,

    thankyou for giving us so detailed feedback - we appreciate that.

    We are discussing all feedback we got from astaro.org once a week - and include it into our development roadmap.

    The Manual: We just finished the german version (I will announce it later today) and are translating it already. Darryl - I will come back to concerning the proof reading! Thanks.

    Just give us a little bit more time - and we will have implemented almost all your wishes [;)]

    Take care,
    Jan
  • 0 in reply to Jan Hichert
    Hi Darryl,

    thx for your ideas, point 8 is done in version 2.0
Reply Children
  • 0 in reply to Markus Hennig
    Further to my comments earlier, I have just been spending my time getting to know the product better... I have some more comments

    1) If possible hostname should be changed in httpd.conf, for completeness if nothing else. 

    2) UI issue - I keep getting confused which options I can choose from, and which are the present settings. Often the text that describes the box is next to the box of options that can be selected from and not the current settings.

    3) The Red/Green LED's. What does RED mean? It means danger. In my opinion, turning a rule on is dangerous. If you want to keep the colours, and that is not bad, how about ticks and crosses...

    4) Minor one, but tootips (ALT tags in the HTML) might be cool over network designations and the like, so that you do not have to actually click the link...

    5) When you go into ADD, and decide against it, for completeness a cancel add button would be good, rather than having to click [back] on the browser. 

    6) I just spent 30 minutes racking my brain over why I could not SCP a file from within the machine. Then I realised that you have locked out SCP from the inside, but you can SCP in from the outside. I guess this is security against a hacker using this machine to hack other sites... 

    7) Setting SQUID to use another port other than 8080 (such as 3128) would be good. Also having the Webadmin being able to set the peer-cache would be good too.

    8) The Filter Livelog under Packet Filter displays the current filter rules, but you cannot use this display since interfaces are not displayed. The verbose iptables is useful here, and also displays volumes since reset. My old firewal has these values reset and emailed to me each night. Good idea.

    9) I found that ASL will run under 8 MBytes of RAM, but I would not recomend it [Faulty motherboard I promise - did not read all the memory].

    10) If I have not mentioned it before, a serial port install would be cute :-)

    11) I bought a couple of RealTek 10/100 cards and the WebAdmin kept locking up. I moved both cards off IRQ 3 and 5 and went to IE rather than netscape and the problem is fixed. 

    12) The WHO command is missing from the machine. It is quite hard to tell if there is hacker logged in without WHO. I know it adds size, but it would be nice :-) Also locate would be loved...

    13) iptables is in the /usr/local/bin directory and the path does not point down there. Any reason for this?

    14) I have found that if I type 
        find > \lslar
    I can then GREP this file if I need to find a file.

    Hope this helps... 

    Darryl

    P.S. From my quick count my messages in this thread would be 12-18 months development work :-)
  • 0 in reply to Darryl Smith
    OK - Another product request...

    With Up2date, the ability to install all updates, except those that need a reboot. For some reason I am not sure about having my firewall reboot without asking me for permission first. It is OK if it works properly etc... But it may not work OK, and also it may not be convenient...

    At the moment I will just leave up2date turned off

    Darryl
  • 0 in reply to Darryl Smith
    Hi Darryl,

    thx a lot for all the stuff you posted, we will discuss the most of this internal.
    Only two points: ASL is a linux distribution for doing above all firewalling and VPN, it shouldnt be comfortable on the console (btw i add w for 2.0). And second: we inform about a reboot during a Up2Date with al lot of "!!!!" ;-)
  • 0 in reply to Markus Hennig
    RE: Reboots during UP2DATE...

    Markus, I just did another up2date... And went stright from 1.800 to 1.820. I had the up2date window running, and there was so much that it scrolled off the end. By the time I had tried to scroll to the end, it had refreshed meaning I could not see the end...

    What this all means is that I did not actulally see the !!! after the 'I am going to reboot' message... I would be more comfortable if it emailed you telling you to remoot manually as required. That way I can plan to be around during a reboot in case it fails.

    But apart from that ASTARO is fantastic... Many thanks... The manual which I have been proof-reading is good too..

    Darryl
Unfiltered HTML