whitch features do you miss in astaro firewall?

rules based one dinamic-(name resolution)...

A fully configurable BIND !

NNTP (NEWS) white/black lists.

SSH Tunneling support built in rather than hacked in.

Next I have to figure out how to tunnel PPTP through SSH.  I have been told it works....

Uh, isn't it better to have the IDS running on a different machine anyway?

You obviouslly missed my earlier post on that subject. I don't run proxies on any of my firewalls. Just the filter. As few exploitable services as possible. 

That and having the IDS running on a system with no TCP stack bound to it is more low profile and probably much more successful anyway

i need an Agent for RSA - ACE/Server for authentication on the whole system and specially on proxy-services. its possible to do with radius but it would be better and more comfortably to do without radius.

Biffa- Because I dig the sexy sexy way with which you can impliment rules, view logs, graph traffic, network usage, hardware usage, and generally control it.

I'll probably be switching to a BSD build at home at some point, but until I train more people at work to even know what the command line is, GUI is what I'll stick with. 

 [;)]

I'm with the guys who said a) bind and b) snort

It is generally good practice to keep a firewall a simple and clean as possible. A firewalls function is to block packets based on certain criteria set by the admin. As for services such as proxies, IDS etc... they are all good and usually hosst that do offer such services have a firewall on them, but these boxes should not be run as the primary inet gate fw/s.

There is a big difference between services such as proxies "application gateways" snort etc.. and services that are hosted on the box for the public. I dont have a problem with snort being on the firewall in certain instances and situations but obviously hosting a ftp server or email server on the firewall is not an good idea.  

 I too would like to see the reverse proxy for dmz situations, snort, a pop3 and imap proxy is a must and i can’t understand why it’s not already present. Astaro also needs to add ipsec pass-through capabilities for instances where the vpn server is behind Astaro and you have to nat all inbound connection rdr to the vpn server from one ip. The cheap linksys cable router is good at this. One ip can support multiple inbound vpn connections by setting up the vpn server or cluster as the dmz host. 

There are times when services such as those mentioned above and others already in astaro are needed. When i find i need a socks,ftp, http proxy, smtp, pop3 etc... i usually setup the host to provide the services and then add a packet filter "firewall" to protect the host providing these services. It also allows me more control over how and who uses the services. With astaro it’s easy because a firewall is already present so i don’t have to add one. So yes these services are good and needed, its up to the admin to know where to enable them and where to just have a plain filter such as your first fw to the internet. My first fw to the internet is a openbsd ipf bridge which has no ip address, no services and only allows ip traffic....that i say is acceptable. Astaro is doing a great job, and i look for more features in the future, the only thing astaro needs to make sure of is that they give the ability to disable all features that are not needed as in the case of just wanting a plain packet filter.

It is generally good practice to keep a firewall a simple and clean as possible. A firewalls function is to block packets based on certain criteria set by the admin. As for services such as proxies, IDS etc... they are all good and usually hosst that do offer such services have a firewall on them, but these boxes should not be run as the primary inet gate fw/s.

There is a big difference between services such as proxies "application gateways" snort etc.. and services that are hosted on the box for the public. I dont have a problem with snort being on the firewall in certain instances and situations but obviously hosting a ftp server or email server on the firewall is not an good idea.  

 I too would like to see the reverse proxy for dmz situations, snort, a pop3 and imap proxy is a must and i can’t understand why it’s not already present. Astaro also needs to add ipsec pass-through capabilities for instances where the vpn server is behind Astaro and you have to nat all inbound connection rdr to the vpn server from one ip. The cheap linksys cable router is good at this. One ip can support multiple inbound vpn connections by setting up the vpn server or cluster as the dmz host. 

There are times when services such as those mentioned above and others already in astaro are needed. When i find i need a socks,ftp, http proxy, smtp, pop3 etc... i usually setup the host to provide the services and then add a packet filter "firewall" to protect the host providing these services. It also allows me more control over how and who uses the services. With astaro it’s easy because a firewall is already present so i don’t have to add one. So yes these services are good and needed, its up to the admin to know where to enable them and where to just have a plain filter such as your first fw to the internet. My first fw to the internet is a openbsd ipf bridge which has no ip address, no services and only allows ip traffic....that i say is acceptable. Astaro is doing a great job, and i look for more features in the future, the only thing astaro needs to make sure of is that they give the ability to disable all features that are not needed as in the case of just wanting a plain packet filter.

IPv6 would be nice  [:)] 

Perhaps a bit early, but better sooner than later.

At the moment I need two firewall/gateways, one running astaro with IPv4, and one running debian inside LAN with IPv6.

Basic UPS support would be nice too.

PPTP-Authentification over Radius...

CU
\/\/o|f

active session/s VPN failover for clustered HA enviroments. provide services comparable to that of rainfinity, stonebeat and big-ip

a pop3 proxy 

a pptp proxy 

a ipsec proxy "support ipsec pass-through so astaro can proxy incoming ipsec connections to the proper vpn server.

the option to run snort and log/report locally or to a main sensor/database "distributed implementation" such as Demarc's PureSecure. If a shop already has an ids database one could eaisly configure the snort client on astaro to join the other ids sensors regardless of OS or vendor make.
but the ability to also just have it logs the snort errors locally and presented in the gui so the admin can see the attacks. Smoothwall’s ids integration would be one to emulate as its simple clean and very effective and in the case you don’t want an ids system on this firewall...you can just simply not run it.

a good icmp proxy

a ssl proxy

a ftp proxy "not all ftp clients can use socks"

support for authentication via the tacacs+ protocol

arp poisoning capabilities

ability to bridge interfaces

ability to block non-ip traffic by default on routing interfaces or in bridge combinations. ipf on openbsd does this very well.

a option to use a special admin program that would provide a gui interface remotely like checkpoints. i hate using a web browser. you could use ssl to encrypt.

Offer a version of astaro on an OpenBSD platform.

on the current Linux distro use a Linux release such as http://www.immunix.org/ which has stack guard and format guard.

astaro also needs tripwire or lids and have it report on the ids page or to a syslog..email account.

vpn encryption accel. cards. and add support for some of the cheaper hifin cards so us poor folks can get one.
 
 [size="1"][ 27 August 2002, 10:41: Message edited by: EaSyToKeR ][/size]

I would like to see a dial-up fail-over backup. Just in case your main dedicated connection goes down you could atleast have a way to get outside access.

Ability to specify interface when creating iptables rule via Web interface.

Hmmm does the 'mixed mode' for VPN authentication work by now? I would like to occasionally have my 'el cheapo' router connected, but it cannot handle RSA or X.509 - but I need those too...

Greetings,
wjl

Hi,

just wanted to make sure that you guys know we are reading this thread. We are putting all of the mentioned features on our roadmap and evaluate them. Some of them are already on our release schedule.

We will announce [next version] of ASL in 4th quarter of this year. Now PLEASE dont ask us whats in this version etc. - otherwise our sales and support teams will hate me for this posting...  But believe me, you will like it!

Stay tuned - and thanks again for the feedback,

Jan
CEO Astaro

please, please and please  [:)]ent.

when you click on the logs such as packet filter etc... make it real-time instead of having to close the window and reopen another one after making a rule. another thing that would be nice is when something is blocked and you go to the filter logs to see what’s going on, have the error with the rule that’s doing it....checkpoint ng is good with this.

tcp src:192.168.0.1 > 202.202.202.202 sp:2020 dp:110 dropped by rule 3

also if you add a rule that compromised another one have it notify your. rule 3 hides rule2 etc..

add tcpdump so we can remotely troubleshoot, and present it in a window like the proposed dynamic real-time logs for filters.

i don’t know if you guys use stack guard or format guard when compiling astaro src. but it would be a great addition with all the buffer overflows and format strings going around. It would also be nice if you offered the firewall as an add on application and supported different OS’s. The current all in one..pop in the cd and go is cool, but not everyone likes linux. You have a good product and it should not be hampered by its support for other operating systems. I would love to download astaro as an perl script, run ./configure and have the script install everything I needed, and even download from the internet things that are needed but not present. Demarc puresecure does this well. I could then set up my favorite OS such as openbsd get it on the internet, run the install script, have it download everything needed and then installing and setting up the astaro fw. I just feel you are hampering yourselves on this. checkpoint used to be the same way for ever and then they started supporting multiple systems and sales when dramatically up. Speaking of demarc puresecure, that would be a nice addition. 

AHH!! I dream of something else already mentioned…active session failover for vpn tunnels and the abilty to have multiple clusters of servers. If I was astaro and wanted to improve a good product I would add this as vpn is a necessity this days. I would also emulate rainfinity as they are the king in this field. 

 

you guys are doing a good job; i finally feel i have a decent and affordable product to promote to customers who can not afford a cisco pix or checkpoint fw.