From ClearOS to Sophos UTM Home Edition

Hi and welcome to the forum,

as a home user you get the entire works for free.
Having said free, I mean you get the software which you download and apply to your hardware. You do have to apply for a licence, which is also free to home users. Also the updates are free.
The feature set is quite extensive. The configuration is menu driven, but does require some thinking before you start.

The UTM blocks everything by default, so you have allow things through the firewall. 
Once you build the UTM a simple configuration can get you on line to ask questions in these forums.
Most of the time the answers to your questions are provided by other users and sometimes an interested developer will help.
I suggest you go to the Sophos UTM home page and have a look at the features.

Sophos UTM - Documentation - Support - Sophos

Ian[:)]

Sorry I didn't answer your question. A quick trip to the clearos site didn't provide me with much info except you need to download each module you want to use.

Further review/differences
Sophos UTM is designed as a specific firewall
clearos is not a true firewall as it has firewall features as well fileserver, domain controller etc.

Welcome!

Used ClearOS 5.2 and 6 for a short period.  I found ClearOS 6 to be a little too a la carte for me.  Also, a lot of the really good modules (like Dynamic VPN) come with a hefty price tag.  I think it was 100/year just so you and a few friends could build an IPSec mesh.  Sophos technically does this for free by allowing you to build tunnels to a DNS host.  Get a dynamic DNS for your site and use it as your tunnel endpoints.  Works perfectly.  Another big downfall, was in order to get signature updates for AV, IPS, and Content filtering you also had to pay yearly.  Sophos gives you this for free as well for home use.

Now, for the a la carte Marketplace: it works marginally at best.  When I first got 6 running, I connected it to the marketplace and downloaded every single free module they had available.  Within 3 to 5 days I was re-installing and restoring from backup because the OpenLDAP implementation was very screwy.  It being a new distro for me, I resigned myself to thinking that I shouldn't have arbitrarily installed everything and treated it so haphazardly.  So this time I only installed the apps I intended to use right away and left the others.  Within two weeks I was installing Sophos.  I don't know what ClearOS did, but their use of the winbind module is horrid.  Some services use it, some use PAM, some use Clear's user database.  I found myself editing too many .conf files just to get everything using accounts I would create in /etc/passwd.

While the UI is pretty and the initial product offering free with no restrictions, Sophos/Astaro is hands down the most fully featured and mature product available to home users.  The use of PostgreSQL based middleware makes the configuration objects persistent across modules.  Updating an IP changes that object in every rule you've deployed.  It is a full-scale commercial product that I would wholly recommend to small and medium sized businesses.  And I would FIGHT a polar bear to build, configure, and install one in every home.  I have successfully converted 6 homes to Sophos.  Three of those deployments have been set and forget.  Base configuration and they run like a top.  I log into them every now and again to make sure their pattern updates are increasing in number and to install firmware updates.

Just curious, in the home installation, are you running Transparent web proxy or Standard using the UTM's DHCP and a PAC file?  In fact, you can leave the proxy in Transparent mode and it will react as if it were in Standard mode if the browser addresses it as a proxy.

Cheers - Bob

Hi Bob,
this question is slightly OT. Does the use of the proxy in standard mode reduce the load on the UTM? I have always wondered what the advantages of standard mode are over transparent mode. I did some research and the only things I could really see was less load on the UTM and faster request handling.

Ian[:)]

Hi Ian,
AFAIK, transparent mode exists to make client proxy configuration unnecessary, and there shouldn't be a load difference either way.

Barry

Hi Barry,
according to the wiki on proxies, the transparent is at layer 3 and the standard is at layer 7. The layer 3 traffic is captured and passed to the layer 7 proxy which would make extra work for the UTM rather than capturing and processing layer 7 traffic. Probably only an issue for a heavily loaded UTM in transparent mode.

Ian

Hi,
All traffic going through a firewall is already processed at the layer 3 level, and redirected to another interface or dropped; I doubt the redirection to the proxy would have measurable impact.
Certainly the proxy itself would be a bottleneck far before anything else on the firewall.

Barry

Ian, outside of facilitating the use of SSO, the advantage of using the proxy explicitly is that it handles all of the services listed in 'Allowed target services'.  One thing that that would allow you to do is control access to tors on ports other than 80; otherwise, you have to choose between blocking or allowing everything.

Cheers - Bob

Hi Bob,
let me see if I understand what you are saying.
Transparent proxy does not use the exceptions, allowed services, bypass proxy for certain sites?
Where as Standard proxy obeys all those features?
If this is correct this could explain my issue with WOW.

Ian

In Transparent, the proxy applies only to port 80 traffic, so URL Filtering, Exceptions, etc. don't apply to HTTPS, FTP or other services as they all just pass directly via Firewall rules.

When the PC's Proxy Settings point the browser at the Proxy, URL Filtering, Exceptions, etc. apply to all of the services listed in 'Allowed target services'.

Cheers - Bob