whitch features do you miss in astaro firewall?

rules based one dinamic-(name resolution)...

A fully configurable BIND !

A very nice to have Feature would be policy based routing (routing by source address)

we currently have a setup of one flatrate dsl connection with dynamic ip address which handles high volume traffic and a leased line with fixed ip's for webservers, dns, and so on.

Hi all,

Seems most of these requests are somewhat based on home network needs.

Here are a few for the more corporate needs.
A few things that would really be of interest in corporate environments.

UPS support   

Ratelimiting of some sort. ( to limit nuber of syn/ack +++ in order to cope with ddos attacs etc.. )
Better traffic control (tc ?), ip/port based BW-management.
Speed up the connection tracking listing, with a "few" 3-4000 connections it takes "forever" to make the list.

"IDS control" from main astaro (to admin a IDS system running on a seperate box via astaros excellent webinterface) this on a dedicated nic on both the IDS box and the astaro.
"The IDS will offcource be stealthed without ip  on the bridging nics" only ip on the "admin" interface. I guess it could be managed via usb or serial interface instead of the third nic.

PS. IDS and the firewall should NEVER run on the same box (except maybe in vmware or something similar).

I still love what you have done, altho i feel there are a few things that shouldn't run on the firewall.

Brgds Espen
 
 [size="1"][ 26 October 2002, 02:09: Message edited by: Espen ][/size]

The ability to use service groups in  SNAT/DNAT configuration  the same way as in the  Packet Filter Rules  setup

This would ease the NAT setup a bit...   

How about headless boxes? My Astaro box won't shut down if I don't have a video card in it. Even the ability to use serial console redirection would be nice.

Hi all,

The ability to use service groups in SNAT/DNAT configuration the same way as in the Packet Filter Rules setup

Sound very good for me.

Is it possible to open ports at a defined time?
And pop3-proxy with virusscan and virusscan on http-traffic would be nice.

Torsten Schuchort

Hi

I would like to really like the ability to have some sort of IDS available on the box like SNORT

thanks

The same functionality as Host Headers in IIS

Hi all,
now i have seen the administration of an checkpoint firewall and i found a great thing in the logs and it was showing the rulenumber, wich was affected, in the logs. Big for troubleshooting and overview of functionality.

But by the way ASL is a great thing, but the enemy of the best is the better thing.
So ASL may do its way.

firebear

What I need is

   HIGH AVAILABILITY THAT DOES NOT REQUIRE A DEDICATED NETWORK PORT....

Darryl

Hi, just one other thing.

In my setup I do a first rule (nr. 1) that has "BANNED" any any drop.
Banned is a network group. When ever I detect "abusive" networks/computers I add a network definition saying AbuserXXXX ip.adress nett.mask.
Then i add it to the banned group.
In the Rule page there should be a easyer way to add "banned" hosts maybe a mutilple line "text box" where you can add multiple abusers in the form.

1.2.3.0/24
1.2.3.4/32
2.3.4.5/255.255.255.255
5.6.7.0/255.255.255.128
and so on....

This vil simplify the way i "add" abusers to be dropped if they try to contact my systems.

Also it would be nice to be able to import/export these "abuser" lists...

Brgds Espen

Hi, just one other thing.

In my setup I do a first rule (nr. 1) that has "BANNED" any any drop.
Banned is a network group. When ever I detect "abusive" networks/computers I add a network definition saying AbuserXXXX ip.adress nett.mask.
Then i add it to the banned group.
In the Rule page there should be a easyer way to add "banned" hosts maybe a mutilple line "text box" where you can add multiple abusers in the form.

1.2.3.0/24
1.2.3.4/32
2.3.4.5/255.255.255.255
5.6.7.0/255.255.255.128
and so on....

This vil simplify the way i "add" abusers to be dropped if they try to contact my systems.

Also it would be nice to be able to import/export these "abuser" lists...

Brgds Espen

I would love to see Virtual DMZ or VLAN

As a new home user that has churned through a few Firewall/router/server SW, what i would like to see in a future version of ASL is:

1. The capability of serving a printer or printers from ASL.

and/or

2. Windows workgroup and/or Domain Serving for user authentication from ASL.

Thanks for the good work otherwise.

      Bob Pilette

I'd like to configure services like dyndns.org via webadmin as my DSL provider changes my IP with every connection.

THX, jhwas

To add my 2 cents to this thread.

1- The pop proxy = AV is a good idea.
2- I good content scanner.
3- A way to block smtp traffic sent to users that are no longer members of the system.
4- A ups support feature.
5- Examples of all feature added to the manual or at least a supplement to the manual.

Last but not least for those of us that can't spell, a spell check feature on this board.      

Thanks!  

I would like the ability to filter requests based on file size and extension (ie: >5MB + .mp3)

HTTP Proxy timestamp (ie: when a request for www.somesite.com/index.html gets logged, it will have the system time attached to that indiviual request)

When surf-filter catches something, have an email sent to either the admin, or a optional other address (this could be enabled by a checkbox or something, so that it would be optional mail - if it is desired)