Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 83 replies
  • Subscribers 3 subscribers
  • Views 115994 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

whitch features do you miss in astaro firewall?

blue_01
I would need:

- a second http proxy (reverse proxy to use for  dmz)

- a pop3 proxy to use for external pop3 clients

- the possibility to change the proxy cache sizes in the web interface or the possibility to disable the cache

- silent services  (i don't want that an port-scan show that the smtp proxy is exim)

- and maybe "how to" samples in the manual

what do you need?


This thread was automatically locked due to age.
Parents Reply Children
  • 0 in reply to Bob M
    I'd like to get an Intrusion Detection System automatically configured (snort!).
  • 0 in reply to Micah Lloyd
    Uh, isn't it better to have the IDS running on a different machine anyway?
  • 0 in reply to jabberwocky
    Originally posted by jabberwocky:
    You obviouslly missed my earlier post on that subject. I don't run proxies on any of my firewalls. Just the filter. As few exploitable services as possible. 
      So why bother running Astaro at all
    surely a nice clean boot floppy BSD firewall running IPFilter would do?

     

    That and having the IDS running on a system with no TCP stack bound to it is more low profile and probably much more successful anyway
    Don't get me wrong, I agree with you, in some situations, but here we are talking about the Astaro firewall which has all those features I mentioned I was just trying to keep the conversation in context. No offence intended   [:)]
  • 0 in reply to jabberwocky
    Originally posted by jabberwocky:
    Uh, isn't it better to have the IDS running on a different machine anyway?
    Heh, on that basis, isn't it better to have:

    DNS proxy
    SMTP proxy
    HTTP proxy

    Running on a separate machine as well?

    I think if we trust to run these on our firewall then an IDS would do well as the FW is the point of entry in most cases and an alert system would be most appreciated by most of the admins.

    You can of course run an IDS on a separate machine as well ;-)
  • 0 in reply to Biffa
    You obviouslly missed my earlier post on that subject. I don't run proxies on any of my firewalls. Just the filter. As few exploitable services as possible. 

    That and having the IDS running on a system with no TCP stack bound to it is more low profile and probably much more successful anyway
  • 0 in reply to Biffa
    i need an Agent for RSA - ACE/Server for authentication on the whole system and specially on proxy-services. its possible to do with radius but it would be better and more comfortably to do without radius.
  • 0 in reply to firebear_01
    Biffa- Because I dig the sexy sexy way with which you can impliment rules, view logs, graph traffic, network usage, hardware usage, and generally control it.

    I'll probably be switching to a BSD build at home at some point, but until I train more people at work to even know what the command line is, GUI is what I'll stick with. 

     [;)]
  • 0 in reply to jabberwocky
    I'm with the guys who said a) bind and b) snort
  • 0 in reply to Mark Sheldon
    It is generally good practice to keep a firewall a simple and clean as possible. A firewalls function is to block packets based on certain criteria set by the admin. As for services such as proxies, IDS etc... they are all good and usually hosst that do offer such services have a firewall on them, but these boxes should not be run as the primary inet gate fw/s.

    There is a big difference between services such as proxies "application gateways" snort etc.. and services that are hosted on the box for the public. I dont have a problem with snort being on the firewall in certain instances and situations but obviously hosting a ftp server or email server on the firewall is not an good idea.  

     I too would like to see the reverse proxy for dmz situations, snort, a pop3 and imap proxy is a must and i can’t understand why it’s not already present. Astaro also needs to add ipsec pass-through capabilities for instances where the vpn server is behind Astaro and you have to nat all inbound connection rdr to the vpn server from one ip. The cheap linksys cable router is good at this. One ip can support multiple inbound vpn connections by setting up the vpn server or cluster as the dmz host. 

    There are times when services such as those mentioned above and others already in astaro are needed. When i find i need a socks,ftp, http proxy, smtp, pop3 etc... i usually setup the host to provide the services and then add a packet filter "firewall" to protect the host providing these services. It also allows me more control over how and who uses the services. With astaro it’s easy because a firewall is already present so i don’t have to add one. So yes these services are good and needed, its up to the admin to know where to enable them and where to just have a plain filter such as your first fw to the internet. My first fw to the internet is a openbsd ipf bridge which has no ip address, no services and only allows ip traffic....that i say is acceptable. Astaro is doing a great job, and i look for more features in the future, the only thing astaro needs to make sure of is that they give the ability to disable all features that are not needed as in the case of just wanting a plain packet filter.
  • 0 in reply to EaSyToKeR
    IPv6 would be nice  [:)] 

    Perhaps a bit early, but better sooner than later.

    At the moment I need two firewall/gateways, one running astaro with IPv4, and one running debian inside LAN with IPv6.