whitch features do you miss in astaro firewall?

rules based one dinamic-(name resolution)...

A fully configurable BIND !

A POP3 virus-scanner
Extended logging for virus messages

I'd like to get an Intrusion Detection System automatically configured (snort!).

NNTP (NEWS) white/black lists.

SSH Tunneling support built in rather than hacked in.

Next I have to figure out how to tunnel PPTP through SSH.  I have been told it works....

Uh, isn't it better to have the IDS running on a different machine anyway?

You obviouslly missed my earlier post on that subject. I don't run proxies on any of my firewalls. Just the filter. As few exploitable services as possible. 

That and having the IDS running on a system with no TCP stack bound to it is more low profile and probably much more successful anyway

i need an Agent for RSA - ACE/Server for authentication on the whole system and specially on proxy-services. its possible to do with radius but it would be better and more comfortably to do without radius.

Biffa- Because I dig the sexy sexy way with which you can impliment rules, view logs, graph traffic, network usage, hardware usage, and generally control it.

I'll probably be switching to a BSD build at home at some point, but until I train more people at work to even know what the command line is, GUI is what I'll stick with. 

 [;)]

I'm with the guys who said a) bind and b) snort

It is generally good practice to keep a firewall a simple and clean as possible. A firewalls function is to block packets based on certain criteria set by the admin. As for services such as proxies, IDS etc... they are all good and usually hosst that do offer such services have a firewall on them, but these boxes should not be run as the primary inet gate fw/s.

There is a big difference between services such as proxies "application gateways" snort etc.. and services that are hosted on the box for the public. I dont have a problem with snort being on the firewall in certain instances and situations but obviously hosting a ftp server or email server on the firewall is not an good idea.  

 I too would like to see the reverse proxy for dmz situations, snort, a pop3 and imap proxy is a must and i can’t understand why it’s not already present. Astaro also needs to add ipsec pass-through capabilities for instances where the vpn server is behind Astaro and you have to nat all inbound connection rdr to the vpn server from one ip. The cheap linksys cable router is good at this. One ip can support multiple inbound vpn connections by setting up the vpn server or cluster as the dmz host. 

There are times when services such as those mentioned above and others already in astaro are needed. When i find i need a socks,ftp, http proxy, smtp, pop3 etc... i usually setup the host to provide the services and then add a packet filter "firewall" to protect the host providing these services. It also allows me more control over how and who uses the services. With astaro it’s easy because a firewall is already present so i don’t have to add one. So yes these services are good and needed, its up to the admin to know where to enable them and where to just have a plain filter such as your first fw to the internet. My first fw to the internet is a openbsd ipf bridge which has no ip address, no services and only allows ip traffic....that i say is acceptable. Astaro is doing a great job, and i look for more features in the future, the only thing astaro needs to make sure of is that they give the ability to disable all features that are not needed as in the case of just wanting a plain packet filter.

IPv6 would be nice  [:)] 

Perhaps a bit early, but better sooner than later.

At the moment I need two firewall/gateways, one running astaro with IPv4, and one running debian inside LAN with IPv6.

Basic UPS support would be nice too.

PPTP-Authentification over Radius...

CU
\/\/o|f

active session/s VPN failover for clustered HA enviroments. provide services comparable to that of rainfinity, stonebeat and big-ip

a pop3 proxy 

a pptp proxy 

a ipsec proxy "support ipsec pass-through so astaro can proxy incoming ipsec connections to the proper vpn server.

the option to run snort and log/report locally or to a main sensor/database "distributed implementation" such as Demarc's PureSecure. If a shop already has an ids database one could eaisly configure the snort client on astaro to join the other ids sensors regardless of OS or vendor make.
but the ability to also just have it logs the snort errors locally and presented in the gui so the admin can see the attacks. Smoothwall’s ids integration would be one to emulate as its simple clean and very effective and in the case you don’t want an ids system on this firewall...you can just simply not run it.

a good icmp proxy

a ssl proxy

a ftp proxy "not all ftp clients can use socks"

support for authentication via the tacacs+ protocol

arp poisoning capabilities

ability to bridge interfaces

ability to block non-ip traffic by default on routing interfaces or in bridge combinations. ipf on openbsd does this very well.

a option to use a special admin program that would provide a gui interface remotely like checkpoints. i hate using a web browser. you could use ssl to encrypt.

Offer a version of astaro on an OpenBSD platform.

on the current Linux distro use a Linux release such as http://www.immunix.org/ which has stack guard and format guard.

astaro also needs tripwire or lids and have it report on the ids page or to a syslog..email account.

vpn encryption accel. cards. and add support for some of the cheaper hifin cards so us poor folks can get one.
 
 [size="1"][ 27 August 2002, 10:41: Message edited by: EaSyToKeR ][/size]