5.020 License counting.

same notification here License usage: EXCEEDING 100% OF USER COUNT on Astaro Security Linux..

Maybe it's an initial implementation thing...

Still all my comments above stand.

Also, Executive Report says I'm using 15IP's whilst Admin-Licensing says I'm using 13 now....

fair enough.

but if you have a few dmz's and windows update etc every box will transit the firewall in some way. even if its once a week for 5 mins they will still transit the firewall and therefore count.

Hi!

Sorry for dropping in so late, but i have some basic questions:

- As told early in this thread, a counted IP, is when a PC accesses the Internet using a packet filter rule. So what about the HTTP Proxy? This is a connect ON the ASL box but not THROUGH.

- My License usage graph shows 2 IPs, but when I try to list them using the  IPs listing feature, the list is empty... How can this be? And how comes, there are only 2 machines connecting to the internet? I think something is still not working that well...

Maybe someone could explain this...

Thanx, Thorsten

What counts as going "through" the firewall?

I have 5 network printers, which do not need to access the internet.

However machines in my DMZ should be able to print... Will these count against the license count?  (ie traffic from one internal card to another internal card).

Creating rules to block this sort of traffic is a PITA !

One rule to block printers from accessing ANY, then other rules to allow printing across to wireless and DMZ LANs....

[ QUOTE ]
What counts as going "through" the firewall?.

[/ QUOTE ]

Let me described the model I built after analysing my logs and license info. Please note that this is done as "blackbox" analysis and isn't based on the actual code so it might be wrong (if it is, hopefully someone from Astaro will correct me).

When Astaro receives an IP packets, it checks the destination IP against it's firewall rules. If there is an "allow" rule for that packet, it then checks if the destination interface has a default gateway (public interface). If it does, it considers the pakets as outbound and add the source IP to the license list. If it doesn't, it considers it as an inbound rule and add the destination address to the license list.

In adition to that, it might be that an IP that is added to the license list is checked against the known network list: if it's not in this list, the license isn't counted (to help prevent spoofed packets from adding random IPs to the list).

Once again, I stress that this is purely based on log analysis: checking what IP are in the license list and, using the "first seen" and "last seen" timestamps, seeing what packets has triggered the entry.

[ QUOTE ]
What counts as going "through" the firewall?

I have 5 network printers, which do not need to access the internet.

However machines in my DMZ should be able to print... Will these count against the license count?  (ie traffic from one internal card to another internal card).

Creating rules to block this sort of traffic is a PITA !

One rule to block printers from accessing ANY, then other rules to allow printing across to wireless and DMZ LANs.... 

[/ QUOTE ]

Your network printers are not counted as long as you don't expose them to traffic with the default gw interface or with a vpn tunnel.

Although the communication between DMZ and the internal network is protected by the firewall's forwarding filter rules, that kind of transmission is free of charge by Astaro's IP count license model.

escolar, would it be possible for you to post an exact, technical description on how Astaro counts its licenses ? 

It would probably be far more usefull that trying to analyse logs and bitching about what the suppose is doing against what it's supposed to do (as I have done in this thread). Even on a setup point of view, it would be really helpful since it could allow us to plan how many licenses we need instead of discovering it with trial and error.

Thanks

[ QUOTE ]
escolar, would it be possible for you to post an exact, technical description on how Astaro counts its licenses ? 

It would probably be far more usefull that trying to analyse logs and bitching about what the suppose is doing against what it's supposed to do (as I have done in this thread). Even on a setup point of view, it would be really helpful since it could allow us to plan how many licenses we need instead of discovering it with trial and error.

Thanks 

[/ QUOTE ]

I think that is a warrantable request. Although this thread now contains more than 50 followups, and all the aspects of counting rules have been mentioned already (among other rather important topics including Gert's fundamental statements about license philosophy), it makes sense to recollect the pieces on one place.

But before reading on, see this little disclaimer: Please  consider this an "inofficial summary of an insider", helping the users of this forum understand the license counting algorithm; I'm neither a native English speaker, nor a lawyer, nor am I 100% sure of having understood all aspects of licensing myself :-).


Background

In contrast to proxy connections, which end in the firewall itself (and which may be subject to other license categories), the IP counter focuses on passed through (forwarded) connections, whose both end points are ip nodes on different interfaces of the ASL.

One measure of the "benefit" of the firewall is the number of nodes (hosts, ip addresses) on the protected side, which can communicate 
 a) with the "dangerous" side OR
 b) via a secure tunnel through an unsecure communication line.

The license category "NUMBER OF PROTECTED USERS" covers this benefit.

-----------------------------------------------------------------------------
IN ONE SENTENCE:
The counter of the "number of protected users" in ASL5 maintains a permanent list of those HOSTS (= ip addresses) behind the protected interfaces of ASL, which at any time in the past had at least one direct - not necessarily bidirectional - communication THROUGH (= forward) the ASL with
 a) the external default interface (= pointing to the INTERNET)  OR
 b) a peer using an IP-Tunnel.
-----------------------------------------------------------------------------

Thinking that over you may realize which cases are _not_ charged by Astaro, compared with some competitors.

And - yes, Astaro is aware that there have been many requests to implement a way of expiry in connection with the "last seen" field.

Cool [:)]

Thanks

 [ QUOTE ]
 If your talking about the packet filter rules, then I have apparently missed the part of the configuration where I can specify that I want only HTTP to go through port 80, only SMTP to go though port 25 and that I allow connections to 8081 as HTTP.
 

[/ QUOTE ] 

Wow.. is seems we have the same wish list !! When will Astaro implement advanced filtering rules like those mentioned above...

Yes, I love Astaro (As a consultant I strongly recomend it to many of my clients) but I still think it´s expensive for most of its users which are in the 50 - 100 IP range. My sugestion is a SMB version/pack of ASL at a fixed price for corporate users in the 50 -100 IP range.

Cheers !!

 [ QUOTE ]
 If your talking about the packet filter rules, then I have apparently missed the part of the configuration where I can specify that I want only HTTP to go through port 80, only SMTP to go though port 25 and that I allow connections to 8081 as HTTP.
 

[/ QUOTE ] 

Wow.. is seems we have the same wish list !! When will Astaro implement advanced filtering rules like those mentioned above...

Yes, I love Astaro (As a consultant I strongly recomend it to many of my clients) but I still think it´s expensive for most of its users which are in the 50 - 100 IP range. My sugestion is a SMB version/pack of ASL at a fixed price for corporate users in the 50 -100 IP range.

Cheers !!

That would be nice !

[ QUOTE ]
 [ QUOTE ]
 If your talking about the packet filter rules, then I have apparently missed the part of the configuration where I can specify that I want only HTTP to go through port 80, only SMTP to go though port 25 and that I allow connections to 8081 as HTTP.
 

[/ QUOTE ] 

Wow.. is seems we have the same wish list !! When will Astaro implement advanced filtering rules like those mentioned above...
 

[/ QUOTE ]

i am not quite sure if i understand your question correctly.
In the packetfilter you can allow certain services to communicate through  the firewall.

All those services can be modified or added in the WebAdmin section Definitions > Services.
There you can change the port number of HTTP to 8081 or create a new services 'HTTP alternatice' with this port number.
All those services get listed in the PacketFilter > Rules page.

Does that solve your need?

The idea here is to say: "I want to open communication on port 8081 but only if it's HTTP". The idea is to control what goes through an open port without having to rely on proxy.

That can come in handy in several situations: First is SOAP. To control what service goes through, you need a much better control on what's inside the data that just the protocol and port number. Another exemple is to allow SMTP traffic between a front end server and the backend without using the default port and without allowing other traffic through tzhat port.

I know it's difficult but it can probably be done with snort.

That being said, my biggest wish if for the license counting to be inproved so I can finally simplyfy my rules and allow ICMP out (currently, all my monitoring is down because I have to disable ICMP at the gateway to avoid having a license issue)