How does Astaro license work

Astaro counts licenses by how many IP addresses pass THROUGH the firewall.

So.  A web server passes traffic through the server to external sites.

A desktop PC using the Astaro proxy server to web surf does not count since the connection terminates at the proxy server.

A desktop PC telnetting to an outside site does count since it passes through the system to outside.

Hope this clears things up.

So if I have 5 servers sitting in the DMZ and 5 workstation behind the LAN segment.  The 5 servers will have traffice request coming into the firewall, and the 5 workstation will have transparent http proxy going out of the firewall.  In this case, I would need 10 IP license right?

One more thing, if a servers has 5 alias IP (single public IP NAT back to 5 virtual IP webserver), does it mean it need 5 IP license or 1?

dwc

 [ QUOTE ]
 So if I have 5 servers sitting in the DMZ and 5 workstation behind the LAN segment. The 5 servers will have traffice request coming into the firewall, and the 5 workstation will have transparent http proxy going out of the firewall. In this case, I would need 10 IP license right? 

[/ QUOTE ] 

No, you would only need 5 since the workstations terminate at the firewall.  Not pass through it.

 [ QUOTE ]
 One more thing, if a servers has 5 alias IP (single public IP NAT back to 5 virtual IP webserver), does it mean it need 5 IP license or 1? 

[/ QUOTE ] 

1, since the 5 virtual IPs do not pass through the firewall.

Anyone correct me on this?  I think I'm right?

[ QUOTE ]
 [ QUOTE ]
 No, you would only need 5 since the workstations terminate at the firewall. Not pass through it.
 

[/ QUOTE ]

I don't know, it seems that passing through the firewall would count for going from Internal to DMZ networks

Depends on if his DMZ and Internal machines communicate I guess..

Problem is that with something like a windows network you get so much broadcast traffic from the machines on the network that ASL seems to count anything that touches it as a license. So say you have a 50 user license but 51 devices (oh I don't know 40 workstations and 5 servers and a couple of printers) inside the network, you could set all the workstations up to use the web proxy and block anything else getting out, but ASL will count the "attempts" to get out as a license use so you may get a license warning saying you are over 100% of your license useage, you look in your ASL to see whats what and find all the printers IP's in there.

I'm not sure whether ASL does or doesn't count a web proxy use as a license use, but it seems to IMHO.  [:S]

[ QUOTE ]
Depends on if his DMZ and Internal machines communicate I guess.. 

[/ QUOTE ]

ASL KN 111809 says
 [ QUOTE ]
 The counter of the "number of protected users" in ASL5 maintains a permanent list of those HOSTS (= ip addresses) behind the protected interfaces of Astaro, which at any time in the past had at least one direct (not necessarily bidirectional ) communication THROUGH (= forward) Astaro Security Linux with
a) the external default interface (= pointing to the INTERNET) OR
b) a peer using an IP-Tunnel.  

[/ QUOTE ] 

...this sounds to me that traffic from internal to DMZ is not relevant for ip license counting..

[ QUOTE ]

I'm not sure whether ASL does or doesn't count a web proxy use as a license use, but it seems to IMHO.  [:S] 

[/ QUOTE ]

 ASL KN 111809