how many nics are required when doing web filtering only

it will be more difficult to understand the logs with one NIC, but can work
2 NIC will be better

Ok can you go into more detail in regards to 2 nics vs one. I really was just thinking of Astaro as more of a filtering server at least in this config and not a firewall. I know that when you are going through the installer with one nic it post a message stating at least two nics are needed. My problem is I don't see any documentation with configuring Astaro as a filtering or vpn server. In my mind you should be able to install this with one nic than configure your clients to point to Astaro as a web proxy. What are the advantages of running a filtering or vpn solution with 2 nics when that's all you are going to be doing?

Because Astaro is Unified Threat Management and his architecture is to stay first facing the internet as a firewall. No matter what services you are using, it is a firewall

you need a minimum of two..whether you bridge or not..two is the minimum...one for the internal or incoming and one for the external our outgoing.

this is true for physical or virtual setups.

So as I stated I already have pfsense as our main firewall. Astaro will be installed and configured in a vm so let's say I am doing web filtering for subnet 192.168.15.0 . So are you all saying that both nics will be on the192.168.15 subnet. I am trying to get a feel in how the nics will be laid out. Or do I install two nice on the lan and just bridge them together.

this is from the utm online help:
The Bridging feature makes it possible to bridge two or more Ethernet interfaces. The resulting bridge appears as a single hardware interface named br0. The resulting bridge will transparently pass traffic across the bridge member interfaces. However, such traffic must still be allowed in the Firewall configuration.

To configure a bridge, proceed as follows:

Enable bridging on the Status tab.
On the Interfaces & Routing > Bridging > Status tab, either click the status icon or the Enable button.

The status icon turns amber and the Bridge Configuration area becomes editable.

Select the bridging mode.
You can choose between two bridging modes:

Bridge all NICs: Select this option to have all available Ethernet network interface cards joined to a bridge. Specifying a Convert Interface is mandatory with this mode. All interfaces except for the converted interface will be deleted.
Bridge Selected NICs: You can select individual NICs that should form the bridge. This requires that there are unused network interface cards available. Select one or more of them to form the bridge. It is also possible to specify a Convert Interface that will be copied to the new bridge.
Select the interface that should be converted to a bridge.
Only an already configured interface can be selected. The bridge will inherit the address settings of that interface, as well as alias addresses and VLAN settings.

Click Create Bridge.
The network interfaces are being combined and the bridge is being activated (status icon shows green).

To cancel the configuration, click Abort Enable or the amber colored status icon.

Once the bridge has been configured, the converted interface appears as a bridge device with SysID br0 on the Interfaces & Routing > Interfaces tab. All interfaces that are members of the bridge are displayed in the Bridge Configuration area. To remove an interface from the bridge, clear its checkbox and click Update Bridge.

To remove the bridge, proceed as follows:

On the Status tab, click Disable.
The status icon turns amber.

Click Confirm Removal of Bridge.
The status icon turns red. The bridge has been successfully removed.

On the Interfaces & Routing > Bridging > Advanced tab, the following bridging options can be configured:

Allow ARP broadcasts: This function allows you to configure whether global ARP broadcasts should be forwarded by the bridge. If enabled, the bridge will allow broadcasts to the MAC destination address FF:FF:FF:FF:FF:FF. This, however, could be used by an alleged attacker to gather various information about the network cards employed within the respective network segment or even the security product itself. Therefore, the default setting is not to let such broadcasts pass the bridge.

Spanning Tree Protocol: Enabling this option will activate the Spanning Tree Protocol (STP). This network protocol detects and prevents bridge loops.

Caution – Be aware that the Spanning Tree Protocol is known to provide no security, therefore attackers may be able to alter the bridge topology.

Ageing Timeout: The amount of time in seconds after which an inactive MAC address will be deleted. The default time is 300 seconds.

Allow IPv6 Pass Through: Enabling this option will allow IPv6 traffic to pass the bridge without any inspection.

Virtual MAC Address: Here you can enter a static MAC address for the bridge. By default (and as long as the entry is 00:00:00:00:00:00), the bridge uses the lowest MAC address of all member interfaces.

Forwarded EtherTypes: By default, a bridge configured on the Sophos UTM only forwards IP packets. If you want additional protocols to be forwarded, you have to add their EtherType to this box. The types have to be entered as four-digit hexadecimal numbers. Popular examples are AppleTalk (type 809B), Novell (type 8138), or PPPoE (types 8863 and 8864). A typical use case would be a bridge between your RED interfaces which should forward additional protocols between the connected networks.

Since v9 it is possible to install with & use only *one* NIC. You'll get a warning, though. But for your use-case, for web filtering only, it's absolutely possible with just a single NIC.

Since v9 it is possible to install with & use only *one* NIC. You'll get a warning, though. But for your use-case, for web filtering only, it's absolutely possible with just a single NIC.

Harm that's interesting.....I sit corrected