whitch features do you miss in astaro firewall?

rules based one dinamic-(name resolution)...

A fully configurable BIND !

first of all I dont think its a good idea too distinguish between home and normal version in features! This will urge people to hack activation keys and Astaro will probably loose loads of money cause average people start using Astaro normal version with hacked keys.
Second good feature would be 
- QoS by IP, or even better MAC
- IDS sounds really good
- ssh tunnel
- more detailed handbook because sometimes it is quite confusing

despite this great product!!!!!! keep it like this

Hi ASTARO guys,

what about one central adminsitration-console.
I have had 4 ASL-FW to administated (now only 3) for our locations and it would be very fine to have only  one Interface to manage all FWs and check the log-files and so on.

And a better interface for monitoring the system would be also fine.

But please, no more additional features. It´s great the way it is.
snort, proxy, dhcp-server and so on should be run on seperated systems.

Grettings
Martin
 
 [size="1"][ 10 October 2002, 08:27: Message edited by: Martin Westermeier ][/size]

Hi,
I would like to have a statistic Report for emails.
no. of emails received, no. of emails sent, MByte received, MByte  sent, infected with viruses, relaying denied, spam detected,...

cu SveN

a possibility to do snmp monitoring on the internal interface.
i have a verry nice program that does monitoring and make graphs of all my cisco material and i would like to have all the astaro graphs and so on in my program, my program uses snmp, and i would also like to see a sort of tftp download possibility for the config. so i can say every time my snmp query says the config has changed i it sends me the config y tftp so i can intergrate this in http://jffnms.sourceforge.net

Hi

I used astaro as the firewall for a netparty i arranged last weekend, and i was very amazed that it handled the load of 400 geeks as well as it did.

The only thing i would like to have added to astaro is more advanced/effective QoS support. I would like to have the posibility to limit how much traffic a roule should have. For instance i would like to limit SSH trafic so that it maximum uses 10k, but it is always high priority. The reason for this is that otherwise uses could tunnel traffic through port 22, and then use all of the bandwith on something that they should not use it on. 

It would also be very nice to have some (near) realtime graphs that could show how the bandwith is used, so that you can check that no one is abusing the bandwith.

Someone also mentioned different speeds for QoS (for ADSL connections), and i think this feature would be very nice to have.

Henrik Nicolaisen

A very nice to have Feature would be policy based routing (routing by source address)

we currently have a setup of one flatrate dsl connection with dynamic ip address which handles high volume traffic and a leased line with fixed ip's for webservers, dns, and so on.

Hi all,

Seems most of these requests are somewhat based on home network needs.

Here are a few for the more corporate needs.
A few things that would really be of interest in corporate environments.

UPS support   

Ratelimiting of some sort. ( to limit nuber of syn/ack +++ in order to cope with ddos attacs etc.. )
Better traffic control (tc ?), ip/port based BW-management.
Speed up the connection tracking listing, with a "few" 3-4000 connections it takes "forever" to make the list.

"IDS control" from main astaro (to admin a IDS system running on a seperate box via astaros excellent webinterface) this on a dedicated nic on both the IDS box and the astaro.
"The IDS will offcource be stealthed without ip  on the bridging nics" only ip on the "admin" interface. I guess it could be managed via usb or serial interface instead of the third nic.

PS. IDS and the firewall should NEVER run on the same box (except maybe in vmware or something similar).

I still love what you have done, altho i feel there are a few things that shouldn't run on the firewall.

Brgds Espen
 
 [size="1"][ 26 October 2002, 02:09: Message edited by: Espen ][/size]

The ability to use service groups in  SNAT/DNAT configuration  the same way as in the  Packet Filter Rules  setup

This would ease the NAT setup a bit...   

How about headless boxes? My Astaro box won't shut down if I don't have a video card in it. Even the ability to use serial console redirection would be nice.

Hi all,

The ability to use service groups in SNAT/DNAT configuration the same way as in the Packet Filter Rules setup

Sound very good for me.

Is it possible to open ports at a defined time?
And pop3-proxy with virusscan and virusscan on http-traffic would be nice.

Torsten Schuchort

Hi all,

The ability to use service groups in SNAT/DNAT configuration the same way as in the Packet Filter Rules setup

Sound very good for me.

Is it possible to open ports at a defined time?
And pop3-proxy with virusscan and virusscan on http-traffic would be nice.

Torsten Schuchort

Hi

I would like to really like the ability to have some sort of IDS available on the box like SNORT

thanks

The same functionality as Host Headers in IIS

Hi all,
now i have seen the administration of an checkpoint firewall and i found a great thing in the logs and it was showing the rulenumber, wich was affected, in the logs. Big for troubleshooting and overview of functionality.

But by the way ASL is a great thing, but the enemy of the best is the better thing.
So ASL may do its way.

firebear

What I need is

   HIGH AVAILABILITY THAT DOES NOT REQUIRE A DEDICATED NETWORK PORT....

Darryl

Hi, just one other thing.

In my setup I do a first rule (nr. 1) that has "BANNED" any any drop.
Banned is a network group. When ever I detect "abusive" networks/computers I add a network definition saying AbuserXXXX ip.adress nett.mask.
Then i add it to the banned group.
In the Rule page there should be a easyer way to add "banned" hosts maybe a mutilple line "text box" where you can add multiple abusers in the form.

1.2.3.0/24
1.2.3.4/32
2.3.4.5/255.255.255.255
5.6.7.0/255.255.255.128
and so on....

This vil simplify the way i "add" abusers to be dropped if they try to contact my systems.

Also it would be nice to be able to import/export these "abuser" lists...

Brgds Espen

I would love to see Virtual DMZ or VLAN

As a new home user that has churned through a few Firewall/router/server SW, what i would like to see in a future version of ASL is:

1. The capability of serving a printer or printers from ASL.

and/or

2. Windows workgroup and/or Domain Serving for user authentication from ASL.

Thanks for the good work otherwise.

      Bob Pilette

I'd like to configure services like dyndns.org via webadmin as my DSL provider changes my IP with every connection.

THX, jhwas

To add my 2 cents to this thread.

1- The pop proxy = AV is a good idea.
2- I good content scanner.
3- A way to block smtp traffic sent to users that are no longer members of the system.
4- A ups support feature.
5- Examples of all feature added to the manual or at least a supplement to the manual.

Last but not least for those of us that can't spell, a spell check feature on this board.      

Thanks!  

I would like the ability to filter requests based on file size and extension (ie: >5MB + .mp3)