whitch features do you miss in astaro firewall?

rules based one dinamic-(name resolution)...

A fully configurable BIND !

Hmmm does the 'mixed mode' for VPN authentication work by now? I would like to occasionally have my 'el cheapo' router connected, but it cannot handle RSA or X.509 - but I need those too...

Greetings,
wjl

Hi,

just wanted to make sure that you guys know we are reading this thread. We are putting all of the mentioned features on our roadmap and evaluate them. Some of them are already on our release schedule.

We will announce [next version] of ASL in 4th quarter of this year. Now PLEASE dont ask us whats in this version etc. - otherwise our sales and support teams will hate me for this posting...  But believe me, you will like it!

Stay tuned - and thanks again for the feedback,

Jan
CEO Astaro

please, please and please  [:)]ent.

when you click on the logs such as packet filter etc... make it real-time instead of having to close the window and reopen another one after making a rule. another thing that would be nice is when something is blocked and you go to the filter logs to see what’s going on, have the error with the rule that’s doing it....checkpoint ng is good with this.

tcp src:192.168.0.1 > 202.202.202.202 sp:2020 dp:110 dropped by rule 3

also if you add a rule that compromised another one have it notify your. rule 3 hides rule2 etc..

add tcpdump so we can remotely troubleshoot, and present it in a window like the proposed dynamic real-time logs for filters.

i don’t know if you guys use stack guard or format guard when compiling astaro src. but it would be a great addition with all the buffer overflows and format strings going around. It would also be nice if you offered the firewall as an add on application and supported different OS’s. The current all in one..pop in the cd and go is cool, but not everyone likes linux. You have a good product and it should not be hampered by its support for other operating systems. I would love to download astaro as an perl script, run ./configure and have the script install everything I needed, and even download from the internet things that are needed but not present. Demarc puresecure does this well. I could then set up my favorite OS such as openbsd get it on the internet, run the install script, have it download everything needed and then installing and setting up the astaro fw. I just feel you are hampering yourselves on this. checkpoint used to be the same way for ever and then they started supporting multiple systems and sales when dramatically up. Speaking of demarc puresecure, that would be a nice addition. 

AHH!! I dream of something else already mentioned…active session failover for vpn tunnels and the abilty to have multiple clusters of servers. If I was astaro and wanted to improve a good product I would add this as vpn is a necessity this days. I would also emulate rainfinity as they are the king in this field. 

 

you guys are doing a good job; i finally feel i have a decent and affordable product to promote to customers who can not afford a cisco pix or checkpoint fw.

Yea biffa i know what you mean. i don’t like standalone management consoles either. matter of fact i hate to install checkpoint firewalls with the management module on the fw. i always try to get the customer to go the distributed install route and have the management module and firewall module on different boxes and preferable different networks. Unfortunately not all companies, especially mom and pop shops can afford this so having the option to have everything on one box is a + at times.....such as ids+firewall. 

example: if your building an ids system you will probably put some sort of packet filter on the box to protect it...if its already there just activate it. as long as astaro gives us the ability to run just a plain fw it will be ok and then if we choose to run proxies, ids, alerting etc... we simply check the box that enables that service. 

You mentioned you like the web browser based management. It’s convenient but annoying. An app written to interface with the fw would allow the real time data I mentioned..such as a scrolling filter log. I hate troubleshooting through a browser. I would also like to see support for the firewall-builder rules creator/configuration gui. 
http://www.fwbuilder.org/

POP3 and IMAP on a firewall ?!!!

Hello,
filter for the socks5-proxy and then more than one different configured socks5-proxy running at the same time may be nice (maybe one for ftp only and anotherone for ssh only and so on, all with userauthentication and diferent configurations so i can say one user can only make ssh and no ftp like it is with http dns and socks proxys).
whats about atm-nics and the avm fritz!-dsl card.

when i am in the web admin i could only see in the url of the browser on wich system i am at this time (we want to put 4 Astaro/pyramid boxes in our network in the next time) in the head there where the uptime and the last login is listed is space enough to list the hostname to.
if i need an ntp-server i need only one and not a list of all static in the network definition (all listed in the docs one to put in the config).
more radius-attributes like on wich system a user is allowed, wich service for a user is allowed could be reply-items that maybe more flexible cause i can set it in the radius-profile like:
admin1  Password ="secur"
        Service = fw1.astaro.de, socks5
        Service = fw2.astaro.de, webadmin, http
so after checking the username/password the device fw1 can see that the user can make socks5 and nothing else fw2 can see that webadmin and http-proxy is allowed.

>POP3 and IMAP on a firewall ?!!! 

Only the proxies not the server.

traffic shaping based on src net/port and dest net/port.

(Both total per network definition, and for each ip in network definition would be great  [:)] )

traffic shaping based on src net/port and dest net/port.

(Both total per network definition, and for each ip in network definition would be great  [:)] )

Hi!

I just want to say something to ASL after I've tested V3.2 for 2 Weeks: 

What I like:

- The nearly automatic and fast installation and the automatic Backup-function (it allows a fast recovery or reinstallation of the system in a worst case of a hd-crash or some other hardware-failures)
- the easy configuration of most functions of the firewall
- the web-admin-tool with it's easy config- and logging-functions.
- Astaro's Phone-Service is very good, even if we still are testing the software and didn't pay anything yet!

What I don't like:

- never had to do with IPSec. It seems too complicated to me. I would prefer some more examples and/or explanations in the manual or even an own manual for this!
- some log-files (f.e. http-proxy) are with unix-timestamps (not real time of occured event). hard to find the things you need.
- didn't know what else to write here!!

What I would wish for the future:

- POP3-Proxy with Virus-Scan function. (Even had it in some Windows-Proxies like Wingate, so why not here?!)
- possibility to get the logfiles of a day or a month sent by mail.
- more possibilities in the integration into a NT/2K-Domain.

a unwanted feature in astaro fw! 

If you send a Mail with a virus inside to
a network secured with astaro fw the smtp gateway  (virus protection enabled)  write back to you to inform that you have sent a virus.

the problem is:

astaro fw answers with 
"Message generated by Astaro Security Linux"
at the end of the mail.

 is this security?   

why should the world know that i`m using the linux based astaro firewall.

this message appears in all versions - if astaro
needs this for marketing purposes - why not only
in the home version?

- nice would be an additional text in the mail
- like:
     if you would get into this network download
- the free version at www.astaro.com and try out
- how you can crack it.

this seems to be called security at astaro?!

Maybe this is stupid, but....
How about adding a nameserver for your internal network.
Or is this somehow possible in astaro today?

Maybe it could be an option in the DNS proxy, just to override and route an web adress to my internal webserver

I could run an internal Nameserver and just forward it in astaro, but I don`t have one.

( I`m a newbe to astaro)

Black- AND Whitelists

Thanks

I would need a better reporting

not only bytes/second

senseful would be:

bytes/day - in and out for every interface
and
bytes/month - in and out for every interface

I want know how much bytes are transfered
to and from:

external Interface
SMTP, HTTP and other Proxys (seperate)
over VPN connections
NATed Servers
DMZ
.
.

I hope astaro is workin on a better reporting!?

What I would need is H323 protocol support.

Features  I need is:

- limiting bandwidth based on IP address and protocol 
- QoS based on IP address and protocol
- support for sync card such as sangoma and cyclades
- possibility to flush a proxy caches
- SPARC version (why not)

for now it's enough ..

damiri

I would like to see NAT-t (transversal) for IPSEC.

Beaver

What I need is,

more flexible usage of virtual IP addresses for using with the internal smtp proxy and VPN.

I read a lot about wanted proxies, what's about implementing generic proxies??

OK, maybe a little bit to much professionality and the end of a cheap and easy firewall ... but everyone can design his own proxies he want's   [;)]  

Regards

Arne