whitch features do you miss in astaro firewall?

rules based one dinamic-(name resolution)...

A fully configurable BIND !

Biffa- Because I dig the sexy sexy way with which you can impliment rules, view logs, graph traffic, network usage, hardware usage, and generally control it.

I'll probably be switching to a BSD build at home at some point, but until I train more people at work to even know what the command line is, GUI is what I'll stick with. 

 [;)]

I'm with the guys who said a) bind and b) snort

It is generally good practice to keep a firewall a simple and clean as possible. A firewalls function is to block packets based on certain criteria set by the admin. As for services such as proxies, IDS etc... they are all good and usually hosst that do offer such services have a firewall on them, but these boxes should not be run as the primary inet gate fw/s.

There is a big difference between services such as proxies "application gateways" snort etc.. and services that are hosted on the box for the public. I dont have a problem with snort being on the firewall in certain instances and situations but obviously hosting a ftp server or email server on the firewall is not an good idea.  

 I too would like to see the reverse proxy for dmz situations, snort, a pop3 and imap proxy is a must and i can’t understand why it’s not already present. Astaro also needs to add ipsec pass-through capabilities for instances where the vpn server is behind Astaro and you have to nat all inbound connection rdr to the vpn server from one ip. The cheap linksys cable router is good at this. One ip can support multiple inbound vpn connections by setting up the vpn server or cluster as the dmz host. 

There are times when services such as those mentioned above and others already in astaro are needed. When i find i need a socks,ftp, http proxy, smtp, pop3 etc... i usually setup the host to provide the services and then add a packet filter "firewall" to protect the host providing these services. It also allows me more control over how and who uses the services. With astaro it’s easy because a firewall is already present so i don’t have to add one. So yes these services are good and needed, its up to the admin to know where to enable them and where to just have a plain filter such as your first fw to the internet. My first fw to the internet is a openbsd ipf bridge which has no ip address, no services and only allows ip traffic....that i say is acceptable. Astaro is doing a great job, and i look for more features in the future, the only thing astaro needs to make sure of is that they give the ability to disable all features that are not needed as in the case of just wanting a plain packet filter.

IPv6 would be nice  [:)] 

Perhaps a bit early, but better sooner than later.

At the moment I need two firewall/gateways, one running astaro with IPv4, and one running debian inside LAN with IPv6.

Basic UPS support would be nice too.

PPTP-Authentification over Radius...

CU
\/\/o|f

active session/s VPN failover for clustered HA enviroments. provide services comparable to that of rainfinity, stonebeat and big-ip

a pop3 proxy 

a pptp proxy 

a ipsec proxy "support ipsec pass-through so astaro can proxy incoming ipsec connections to the proper vpn server.

the option to run snort and log/report locally or to a main sensor/database "distributed implementation" such as Demarc's PureSecure. If a shop already has an ids database one could eaisly configure the snort client on astaro to join the other ids sensors regardless of OS or vendor make.
but the ability to also just have it logs the snort errors locally and presented in the gui so the admin can see the attacks. Smoothwall’s ids integration would be one to emulate as its simple clean and very effective and in the case you don’t want an ids system on this firewall...you can just simply not run it.

a good icmp proxy

a ssl proxy

a ftp proxy "not all ftp clients can use socks"

support for authentication via the tacacs+ protocol

arp poisoning capabilities

ability to bridge interfaces

ability to block non-ip traffic by default on routing interfaces or in bridge combinations. ipf on openbsd does this very well.

a option to use a special admin program that would provide a gui interface remotely like checkpoints. i hate using a web browser. you could use ssl to encrypt.

Offer a version of astaro on an OpenBSD platform.

on the current Linux distro use a Linux release such as http://www.immunix.org/ which has stack guard and format guard.

astaro also needs tripwire or lids and have it report on the ids page or to a syslog..email account.

vpn encryption accel. cards. and add support for some of the cheaper hifin cards so us poor folks can get one.
 
 [size="1"][ 27 August 2002, 10:41: Message edited by: EaSyToKeR ][/size]

I would like to see a dial-up fail-over backup. Just in case your main dedicated connection goes down you could atleast have a way to get outside access.

Ability to specify interface when creating iptables rule via Web interface.

Hmmm does the 'mixed mode' for VPN authentication work by now? I would like to occasionally have my 'el cheapo' router connected, but it cannot handle RSA or X.509 - but I need those too...

Greetings,
wjl

Hmmm does the 'mixed mode' for VPN authentication work by now? I would like to occasionally have my 'el cheapo' router connected, but it cannot handle RSA or X.509 - but I need those too...

Greetings,
wjl

Hi,

just wanted to make sure that you guys know we are reading this thread. We are putting all of the mentioned features on our roadmap and evaluate them. Some of them are already on our release schedule.

We will announce [next version] of ASL in 4th quarter of this year. Now PLEASE dont ask us whats in this version etc. - otherwise our sales and support teams will hate me for this posting...  But believe me, you will like it!

Stay tuned - and thanks again for the feedback,

Jan
CEO Astaro

please, please and please  [:)]ent.

when you click on the logs such as packet filter etc... make it real-time instead of having to close the window and reopen another one after making a rule. another thing that would be nice is when something is blocked and you go to the filter logs to see what’s going on, have the error with the rule that’s doing it....checkpoint ng is good with this.

tcp src:192.168.0.1 > 202.202.202.202 sp:2020 dp:110 dropped by rule 3

also if you add a rule that compromised another one have it notify your. rule 3 hides rule2 etc..

add tcpdump so we can remotely troubleshoot, and present it in a window like the proposed dynamic real-time logs for filters.

i don’t know if you guys use stack guard or format guard when compiling astaro src. but it would be a great addition with all the buffer overflows and format strings going around. It would also be nice if you offered the firewall as an add on application and supported different OS’s. The current all in one..pop in the cd and go is cool, but not everyone likes linux. You have a good product and it should not be hampered by its support for other operating systems. I would love to download astaro as an perl script, run ./configure and have the script install everything I needed, and even download from the internet things that are needed but not present. Demarc puresecure does this well. I could then set up my favorite OS such as openbsd get it on the internet, run the install script, have it download everything needed and then installing and setting up the astaro fw. I just feel you are hampering yourselves on this. checkpoint used to be the same way for ever and then they started supporting multiple systems and sales when dramatically up. Speaking of demarc puresecure, that would be a nice addition. 

AHH!! I dream of something else already mentioned…active session failover for vpn tunnels and the abilty to have multiple clusters of servers. If I was astaro and wanted to improve a good product I would add this as vpn is a necessity this days. I would also emulate rainfinity as they are the king in this field. 

 

you guys are doing a good job; i finally feel i have a decent and affordable product to promote to customers who can not afford a cisco pix or checkpoint fw.

Yea biffa i know what you mean. i don’t like standalone management consoles either. matter of fact i hate to install checkpoint firewalls with the management module on the fw. i always try to get the customer to go the distributed install route and have the management module and firewall module on different boxes and preferable different networks. Unfortunately not all companies, especially mom and pop shops can afford this so having the option to have everything on one box is a + at times.....such as ids+firewall. 

example: if your building an ids system you will probably put some sort of packet filter on the box to protect it...if its already there just activate it. as long as astaro gives us the ability to run just a plain fw it will be ok and then if we choose to run proxies, ids, alerting etc... we simply check the box that enables that service. 

You mentioned you like the web browser based management. It’s convenient but annoying. An app written to interface with the fw would allow the real time data I mentioned..such as a scrolling filter log. I hate troubleshooting through a browser. I would also like to see support for the firewall-builder rules creator/configuration gui. 
http://www.fwbuilder.org/

POP3 and IMAP on a firewall ?!!!

Hello,
filter for the socks5-proxy and then more than one different configured socks5-proxy running at the same time may be nice (maybe one for ftp only and anotherone for ssh only and so on, all with userauthentication and diferent configurations so i can say one user can only make ssh and no ftp like it is with http dns and socks proxys).
whats about atm-nics and the avm fritz!-dsl card.

when i am in the web admin i could only see in the url of the browser on wich system i am at this time (we want to put 4 Astaro/pyramid boxes in our network in the next time) in the head there where the uptime and the last login is listed is space enough to list the hostname to.
if i need an ntp-server i need only one and not a list of all static in the network definition (all listed in the docs one to put in the config).
more radius-attributes like on wich system a user is allowed, wich service for a user is allowed could be reply-items that maybe more flexible cause i can set it in the radius-profile like:
admin1  Password ="secur"
        Service = fw1.astaro.de, socks5
        Service = fw2.astaro.de, webadmin, http
so after checking the username/password the device fw1 can see that the user can make socks5 and nothing else fw2 can see that webadmin and http-proxy is allowed.

>POP3 and IMAP on a firewall ?!!! 

Only the proxies not the server.

traffic shaping based on src net/port and dest net/port.

(Both total per network definition, and for each ip in network definition would be great  [:)] )

Hi!

I just want to say something to ASL after I've tested V3.2 for 2 Weeks: 

What I like:

- The nearly automatic and fast installation and the automatic Backup-function (it allows a fast recovery or reinstallation of the system in a worst case of a hd-crash or some other hardware-failures)
- the easy configuration of most functions of the firewall
- the web-admin-tool with it's easy config- and logging-functions.
- Astaro's Phone-Service is very good, even if we still are testing the software and didn't pay anything yet!

What I don't like:

- never had to do with IPSec. It seems too complicated to me. I would prefer some more examples and/or explanations in the manual or even an own manual for this!
- some log-files (f.e. http-proxy) are with unix-timestamps (not real time of occured event). hard to find the things you need.
- didn't know what else to write here!!

What I would wish for the future:

- POP3-Proxy with Virus-Scan function. (Even had it in some Windows-Proxies like Wingate, so why not here?!)
- possibility to get the logfiles of a day or a month sent by mail.
- more possibilities in the integration into a NT/2K-Domain.