ASL Bottleneck

[ QUOTE ]
I'm wondering how anyone could write such things.

Low speed and than and oldie of PC. If you want speed - invest in hardware - take a server not a pc.

[/ QUOTE ]
Well, Linux is notorious for running well on low-end hardware.  The latency is great, but the throughput just sucks.  I guess ASL just has a lot of overhead.  Even though it's only functions are Firewall , routing, and VPN.

And by the way, this machine is a server.  Just old.

Did you check the knowledge base for the HCL?

Even if you don't want to upgrade the processor at least give it more memory, like 512mb otherwise it is going to spend considerable time swapping. The is a tweak to free up a considerable amount of ram by shifting the cache to harddrive.

While linux is good at running on low end machines, I think yours is just a bit too low end, especailly with a 5mbs pipe into it.

Ian M [:)]

 [ QUOTE ]
 Well, Linux is notorious for running well on low-end hardware. The latency is great, but the throughput just sucks. I guess ASL just has a lot of overhead. Even though it's only functions are Firewall , routing, and VPN.


[/ QUOTE ] 

Astaro is more than a damn Firewall!   It is a complete unified threat management system. You want a regular firewall to run on an old crappy machine then run IPCOP, or Smoothwall. Astaro is ten times what IPCOP is so don't even go there! 

[ QUOTE ]
 [ QUOTE ]
 Well, Linux is notorious for running well on low-end hardware. The latency is great, but the throughput just sucks. I guess ASL just has a lot of overhead. Even though it's only functions are Firewall , routing, and VPN.


[/ QUOTE ] 

Astaro is more than a damn Firewall!   It is a complete unified threat management system. You want a regular firewall to run on an old crappy machine then run IPCOP, or Smoothwall. Astaro is ten times what IPCOP is so don't even go there!  

[/ QUOTE ]
I WILL go there.

First your attitude sucks.  You want to talk to somebody like that take it to pm there’s no call for that kind of treatment here.  I am not a mod but this type of behavior bothers me.

Second IPCOP at it's base is a proxy/firewall..however with the copfilter addon, the addon-server and the dansguardian mod you have an Astaro replacement..for nothing.  It takes a small bit of work mind you and some linux knownledge but nothing too hard.  I have just switched here.  The only advanced thing i have to do is switch ipcop's snort into snort-inline then i have a complete Astaro replacement.  

Astaro, like just about anything else, is able to be replaced.  With everything going except the dansguardian things are much much faster all around on the same hardware(look below).  This is going to be interesting to see how ipcop stands up.  Although if the QOS tests pass Astaro won't be running here.

[ QUOTE ]
 [ QUOTE ]
 Well, Linux is notorious for running well on low-end hardware. The latency is great, but the throughput just sucks. I guess ASL just has a lot of overhead. Even though it's only functions are Firewall , routing, and VPN.


[/ QUOTE ] 

Astaro is more than a damn Firewall!   It is a complete unified threat management system. You want a regular firewall to run on an old crappy machine then run IPCOP, or Smoothwall. Astaro is ten times what IPCOP is so don't even go there!  

[/ QUOTE ]
I WILL go there.

First your attitude sucks.  You want to talk to somebody like that take it to pm there’s no call for that kind of treatment here.  I am not a mod but this type of behavior bothers me.

Second IPCOP at it's base is a proxy/firewall..however with the copfilter addon, the addon-server and the dansguardian mod you have an Astaro replacement..for nothing.  It takes a small bit of work mind you and some linux knownledge but nothing too hard.  I have just switched here.  The only advanced thing i have to do is switch ipcop's snort into snort-inline then i have a complete Astaro replacement.  

Astaro, like just about anything else, is able to be replaced.  With everything going except the dansguardian things are much much faster all around on the same hardware(look below).  This is going to be interesting to see how ipcop stands up.  Although if the QOS tests pass Astaro won't be running here.

 [ QUOTE ]
 First your attitude sucks. You want to talk to somebody like that take it to pm there’s no call for that kind of treatment here. I am not a mod but this type of behavior bothers me. 

[/ QUOTE ] 
I apologize for being rude. There is no excuse for it and I am sorry. 

 [ QUOTE ]
 Second IPCOP at it's base is a proxy/firewall..however with the copfilter addon, the addon-server and the dansguardian mod you have an Astaro replacement..for nothing. It takes a small bit of work mind you and some linux knownledge but nothing too hard. I have just switched here. The only advanced thing i have to do is switch ipcop's snort into snort-inline then i have a complete Astaro replacement.

Astaro, like just about anything else, is able to be replaced. With everything going except the dansguardian things are much much faster all around on the same hardware(look below). This is going to be interesting to see how ipcop stands up. Although if the QOS tests pass Astaro won't be running here. 

[/ QUOTE ] 

1. Dansguardian is a wonderful mod to IPCOP. It even forces browsers to use google's safe search. And when configured right can block a lot of nasty sites. But it can be too strict at times and you find yourself greylisting a lot of websites.

2. Copfilter has posted a "stable" release, however it's SMTP proxy ProxSMTP does not play well with Exchange server. It also is crashing every 30minutes.Its email blacklists don't work either. It's spam quarantine for POP3 causes POP3 clients to hang. HAVP (Its HTTP Proxy/AV scanner) does not bring up certain websites. And viruses still pass through it. Its FTP Proxy can cause problems with certain FTP clients.

3. IPCOP does not have an outgoing packet filter. It lets everything through.You can add Block out traffic Mod but then you will crash Copfilter, as Copfilter adds entries into rc.firewall and Block out Traffic entries conflict. Also there is no antispyware mod. 

4. IPCOP's VPN is a murder to work with. You have to install the OPENVPN mod if you really want VPN support.

5. These above mentioned are "MODS" meaning that they could break your firewall. IPCOP developers do not support them. 

I have tried all of the above, plus Endian Firewall, Smoothwall, MonoWall, RedWall, Devil Linux. And none of them have "worked" quite so well as Astaro. They all have their pros and cons but all in all Astaro wins hands down!

[ QUOTE ]
 [ QUOTE ]
 First your attitude sucks. You want to talk to somebody like that take it to pm there’s no call for that kind of treatment here. I am not a mod but this type of behavior bothers me. 

[/ QUOTE ] 
I apologize for being rude. There is no excuse for it and I am sorry. 

 [ QUOTE ]
 Second IPCOP at it's base is a proxy/firewall..however with the copfilter addon, the addon-server and the dansguardian mod you have an Astaro replacement..for nothing. It takes a small bit of work mind you and some linux knownledge but nothing too hard. I have just switched here. The only advanced thing i have to do is switch ipcop's snort into snort-inline then i have a complete Astaro replacement.

Astaro, like just about anything else, is able to be replaced. With everything going except the dansguardian things are much much faster all around on the same hardware(look below). This is going to be interesting to see how ipcop stands up. Although if the QOS tests pass Astaro won't be running here. 

[/ QUOTE ] 

1. Dansguardian is a wonderful mod to IPCOP. It even forces browsers to use google's safe search. And when configured right can block a lot of nasty sites. But it can be too strict at times and you find yourself greylisting a lot of websites.

2. Copfilter has posted a "stable" release, however it's SMTP proxy ProxSMTP does not play well with Exchange server. It also is crashing every 30minutes.Its email blacklists don't work either. It's spam quarantine for POP3 causes POP3 clients to hang. HAVP (Its HTTP Proxy/AV scanner) does not bring up certain websites. And viruses still pass through it. Its FTP Proxy can cause problems with certain FTP clients.

3. IPCOP does not have an outgoing packet filter. It lets everything through.You can add Block out traffic Mod but then you will crash Copfilter, as Copfilter adds entries into rc.firewall and Block out Traffic entries conflict. Also there is no antispyware mod. 

4. IPCOP's VPN is a murder to work with. You have to install the OPENVPN mod if you really want VPN support.

5. These above mentioned are "MODS" meaning that they could break your firewall. IPCOP developers do not support them. 

I have tried all of the above, plus Endian Firewall, Smoothwall, MonoWall, RedWall, Devil Linux. And none of them have "worked" quite so well as Astaro. They all have their pros and cons but all in all Astaro wins hands down! 

[/ QUOTE ]
1.  I have to greylist/whitelist a ton of sites with astaro's cobion.  No difference there.

2.  I have had sites pass through the astaro http filter as well.  Nothing is 100% perfect.  Astaro just now got the performance up to par as well..AND copfilter plays nicely with squid something that has been hit or miss with astaro for a while now.

3. IpCop doesn't allow quite everything..it sotps netbios..  There is a outgoing filter mod for ipcop.  I have yet to test it.  After i build this box up i'll definitly do a full apples to apples..i bet it will be very very close though.  It will be interesting to see the performance metrics...  I intend to talk to the copfilter author about the conflict.  I am sure it is fixable.  I'll give you the anti-spyware for now.  However that won't be too far away either.  IME Cobion's track record of accuracy is suspect anyway as i have had a large number of false postivies when using it.

As far as astaro winning hands down..maybe.  It really depends.  Astaro has it's merits but its flaws are substantial.  I honestly think they need to leave v4 and 5 behind and concentrate soley on v6.  QOS is broken and the code needs some serious twekaing in the performance dept.  Frankly I think they should go back to some of the ways of v4(QOS for one) and maybe even dump confd(although i understand the rationale behind it and even appreciate the configuration flexibility it provides).  Astaro is a good product don't get me wrong but it is not the only solution..[:)]

 [ QUOTE ]
   I have had sites pass through the astaro http filter as well. Nothing is 100% perfect. Astaro just now got the performance up to par as well..AND copfilter plays nicely with squid something that has been hit or miss with astaro for a while now.

[/ QUOTE ] 

1. Nothing is ever full proof I know however HAVP still lets sites like crackz-serialz.comand crackz.com download trojan viruses, that Astaro and Fortigate block. 

2. Copfilter install breaks squid if you install dansguardian. You have to install mods in a specific order in order not to break anything. For a firewall that is not a good thing. IPCOP is meant to be a firewall plain and simple. These mods decrease the security of IPCOP. 

3. Yay, block out going Netbios - thats it.

I know there are other products out there that can do the job Astaro does. I am not saying Astaro is the end all for IT security. Yes QoS needs to be fixed, yes they could have done it another way. But for the most part it does what it says it does. I would sleep better at night with Astaro protecting my network than IPCOP with all those "MODS" installed. - Just my $0.02

[ QUOTE ]
 [ QUOTE ]
   I have had sites pass through the astaro http filter as well. Nothing is 100% perfect. Astaro just now got the performance up to par as well..AND copfilter plays nicely with squid something that has been hit or miss with astaro for a while now.

[/ QUOTE ] 

1. Nothing is ever full proof I know however HAVP still lets sites like crackz-serialz.comand crackz.com download trojan viruses, that Astaro and Fortigate block. 

2. Copfilter install breaks squid if you install dansguardian. You have to install mods in a specific order in order not to break anything. For a firewall that is not a good thing. IPCOP is meant to be a firewall plain and simple. These mods decrease the security of IPCOP. 

3. Yay, block out going Netbios - thats it.

I know there are other products out there that can do the job Astaro does. I am not saying Astaro is the end all for IT security. Yes QoS needs to be fixed, yes they could have done it another way. But for the most part it does what it says it does. I would sleep better at night with Astaro protecting my network than IPCOP with all those "MODS" installed. - Just my $0.02 

[/ QUOTE ]
Have you actually run a full pentest against an ipcop with copfilter installed?  If you have then let me know the results.  If not then you can't say security is decreased..[:)]

 [ QUOTE ]
Have you actually run a full pentest against an ipcop with copfilter installed? If you have then let me know the results. If not then you can't say security is decreased..[:)]  

[/ QUOTE ] 

Yes I have, otherwise I wouldn't have said those things. I have run 2 boxes with Copfilter installed. One at my house and one at a church I partime for. I have been running a box with IPCOP and Copfilter since Copfilter first went beta. And even before then with Copfilter only scanned POP3 traffic. In fact you can add Gibraltar firewall to the list as I have run versions 2.0, 2.1 and 2.3. 

So like I have said before I have run many linux firewall distros and none of them compare to Astaro. Plain and simple. Thats the fact Jack!

[ QUOTE ]
 [ QUOTE ]
Have you actually run a full pentest against an ipcop with copfilter installed? If you have then let me know the results. If not then you can't say security is decreased..[:)]  

[/ QUOTE ] 

Yes I have, otherwise I wouldn't have said those things. I have run 2 boxes with Copfilter installed. One at my house and one at a church I partime for. I have been running a box with IPCOP and Copfilter since Copfilter first went beta. And even before then with Copfilter only scanned POP3 traffic. In fact you can add Gibraltar firewall to the list as I have run versions 2.0, 2.1 and 2.3. 

So like I have said before I have run many linux firewall distros and none of them compare to Astaro. Plain and simple. Thats the fact Jack! 

[/ QUOTE ]
I would be interested in your results.  Would you feel comfortable sharing those with me off-forums including dates the tests wrere run..software used for the scan..etc etc etc?