Firewall

NethServer Enterprise can act as firewall and gateway inside the network where it is installed. All traffic between computers on the local network and the Internet passes through the server that decides how to route packets and what rules to apply. Firewall mode is enabled only if the system has at least one network interface configured with red role.

L'applicazione Firewall può essere installata dal Software center e comprende:

  • Supporto WAN multiple fino a 15 collegamenti

  • Gestione regole firewall

  • Gestione banda (QoS)

  • Port forwarding

  • Regole per routing traffico su una specifica WAN

  • Deep packet inspection (DPI)

  • Ricerca intelligente per individuare rapidamente regole e oggetti

  • Grafici in tempo reale

I grafici in tempo reale mostrano le statistiche sul traffico e sui servizi raccolte da Netdata <https://www.netdata.cloud/> _. Per evitare una riduzione delle prestazioni su hardware lento, Netdata non fa parte dell'applicazione firewall e può essere installato da: ref: software-center-section.

Applica e ripristina

Ogni volta che la configurazione viene modificata, le modifiche non vengono applicate immediatamente ma salvate in un archivio temporaneo. Per rendere effettive le modifiche, fare clic sul pulsante Applica presente nell'angolo in alto a destra della pagina.

Finché le nuove regole non sono state applicate è possibile riportare il sistema allo stato precedente facendo clic sul pulsante :guilabel: Ripristina presente nell'angolo in alto a destra della pagina.

Policy

Ogni interfaccia di rete è identificata da un colore che ne indica il ruolo all'interno del sistema. Vedi Rete.

Quando un pacchetto di rete attraversa una zona del firewall, il sistema valuta una lista di regole per decidere se il traffico debba essere bloccato o permesso. Le policy sono le regole di default che vengono applicate se il traffico di rete non corrisponde a nessun criterio esistente.

Le policy del firewall permettono il traffico fra zone seguendo lo schema qui sotto:

GREEN -> BLUE -> ORANGE -> RED

Il traffico è permesso da sinistra a destra, bloccato da destra a sinistra.

Per visualizzare la lista di policy attive cliccare sul pulsante Policy nella pagina Regole.

Le policy possono essere modificate creando regole specifiche tra le zone dalla pagina Regole o accedendo alla sezione Traffico verso Internet all'interno della pagina Impostazioni.

Impostazioni

In questa sezione è possibile modificare il comportamento di default del firewall.

Traffico verso Internet

La policy predefinita del firewall consente tutto il traffico dalle interfacce green a quelle red (Internet). Per modificare la policy predefinita per l'accesso a Internet, abilitare o disabilitare l'opzione Traffico verso Internet (interfaccia red). Se disabilitata, tutto il traffico dalla rete green a quella red viene bloccato. È possibile consentire traffico specifico creando apposite regole dalla pagina Regole.

Traffico fra VPN

Per impostazione predefinita, il traffico tra diversi tunnel VPN non è consentito, ma a volte è necessario consentirlo come, ad esempio, quando un client OpenVPN roadwarrior deve poter raggiungere una risorsa remota dietro un tunnel IPsec. Per consentire il traffico tra le VPN è sufficiente abilitare l'opzione Traffico fra OpenVPN roadwarrior, tunnel OpenVPN e tunnel IPSec. È possibile creare regole di blocco extra dalla pagina Regole per personalizzare l'accesso alla rete dalle zone VPN.

Ping da Internet

Consente a NethServer Enterprise di rispondere alle richieste ICMP provenienti dalle interfacce red (Internet).

Hairpin NAT

Per impostazione predefinita, tutti i port forwarding sono attivi solo per le richieste che arrivano dalla WAN. Quando l'Hairpin NAT è attivo, gli host nelle zone locali saranno in grado di raggiungere le porte inoltrate utilizzando sia gli indirizzi IP pubblici che gli indirizzi IP privati del firewall.

Quando possibile, si consiglia di evitare di abilitare questa opzione e configurare lo split DNS per risolvere correttamente i nomi dei servizi all'interno della LAN.

Se l'hair-pin fosse necessario, selezionare l'opzione Abilita hairpin NAT.

Nota

Per poter abilitare questa funzionalità è necessario che NethServer Enterprise abbia un indirizzo IP pubblico sull'interfaccia red.

Application Layer Gateway (ALG)

Gli application layer gateway gestiscono le regole dinamiche del firewall per determinati protocolli. Molti ALG sono abilitati per impostazione predefinita su NethServer Enterprise, per consentire ad alcuni protocolli (come FTP, SIP, ecc.) di lavorare correttamente anche in presenza di un NAT. Gli ALG ispezionano e riscrivono pacchetti di rete specifici e aprono automaticamente le porte richieste.

Abilita gestione SIP-ALG e H.323-ALG

Alcuni PBX potrebbero non funzionare correttamente con SIP-ALG e H.323-ALG attivi. In caso di problemi audio e di chiamata con PBX o client VoIP provare a disabilitarli.

Binding IP/MAC

Il firewall può utilizzare l'elenco delle reservation DHCP per controllare rigorosamente tutto il traffico generato dagli host all'interno delle reti locali. Anche nel caso in cui il server DHCP sia disabilitato, l'amministratore deve comunque creare delle reservation per associare IP a indirizzi MAC. Vedere Server DHCP e PXE per maggiori dettagli.

Quando il binding IP/MAC è abilitato, l'amministratore sceglierà quale criterio applicare agli host senza una reservation DHCP. L'utilizzo comune è consentire il traffico solo da host noti e bloccare tutto il resto del traffico. In questo caso, gli host senza reservation non potranno accedere né al firewall né alla rete esterna.

Per abilitare il traffico solo dagli host conosciuti, seguire questi passi:

  1. Creare una DHCP reservation per l'host

  2. Andare sulla pagina Regole firewall e selezionare Configura dal menu

  3. Selezionare Validazione MAC (Binding IP/MAC)

  4. Spuntare Blocca traffico come policy per gli host senza riserva DHCP

Nota

Ricordarsi di creare almeno una DHCP reservation prima di abilitare la modalità binding IP/MAC, altrimenti nessun host sarà in grado di configurare il server usando l'interfaccia web o SSH.

Regole

Le regole vengono applicate a tutto il traffico di rete che attraversa il firewall. Quando un pacchetto di rete transita da una zona all'altra, il sistema cerca fra le regole configurate. Se le caratteristiche del pacchetto corrispondono a quelle descritte in una regola, tale regola viene applicata.

Nota

L'ordine delle regole è molto importante. Il sistema applica sempre la prima regola che corrisponde al traffico in transito.

Una regola si compone di cinque parti principali:

  • Azione: azione da intraprendere quando si applica la regola

  • Origine traffico: indirizzo di origine del traffico, può essere una zona, una rete o un singolo host

  • Destinazione traffico: indirizzo di destinazione del traffico, può essere una zona, una rete o un singolo host

  • Servizio (opzionale)

  • Condizione temporale (opzionale)

Le azioni disponibili sono:

  • ACCEPT: accetta il traffico

  • REJECT: blocca il traffico ed informa il mittente che la richiesta effettuata non è permessa

  • DROP: blocca il traffico, i pacchetti vengono scartati e il mittente non viene notificato

I campi sorgente e destinazione accettano ruoli predefiniti, Oggetti firewall e indirizzi IPv4 o reti in notazione CIDR. Tali indirizzi possono essere successivamente convertiti in oggetti firewall utilizzando le azioni Crea Host e Crea rete CIDR che appariranno accanto all'indirizzo IP.

Se c'è installata l'applicazione VPN ci saranno due zone extra disponibili:

  • ivpn: tutto il traffico proveniente da VPN IPSec

  • ovpn: tutto il traffico proveniente da VPN OpenVPN

La configurazione delle regole di firewall è divisa in 2 differenti pagine:

  • Regole: gestisce le regole che si applicano a tutto il traffico di rete che attraversa il firewall.

  • Regole Locali: gestisce le regole che si applicano al traffico generato dal firewall o destinato al firewall stesso.

Quando si creano nuove regole, vengono visualizzati solo i campi più comuni. Per mostrare altri parametri meno comuni è necessario fare clic sull'etichetta Avanzate

Nota

Se non ci sono interfacce red configurate, il firewall non genera regole per le zone blue e orange.

REJECT vs DROP

Come regola generale, si consiglia di usare REJECT quando si desidera informare l'host sorgente del traffico che la porta a cui si sta provando ad accedere è chiusa. Solitamente le regole che rispondono alle richieste della LAN possono usare REJECT.

Per le connessioni provenienti da Internet si consiglia di usare DROP, al fine di minimizzare la rivelazione di informazioni ad eventuali attaccanti.

Log

Quando una regola viene applicata, è possibile registrare l'evento nel log abilitando la relativa spunta. Il log del firewall è salvato nel file /var/log/firewall.log.

Deep Packet Inspection (DPI)

La Deep Packet Inspection (DPI) è una tecnica avanzata di filtraggio dei pacchetti.

Attivando il modulo DPI, vengono rese disponibili delle voci aggiuntive per il campo Servizi disponibile nelle schermate di creazione/modifica delle regole firewall. Queste voci sono etichettate come protocollo DPI tra le usuali voci servizio e servizio di rete.

Il modulo DPI utilizza la libreria nDPI <https://www.ntop.org/products/deep-packet-inspection/ndpi/> _ in grado di identificare oltre 250 tipi di traffico di rete suddiviso in protocolli di rete (ad esempio OpenVPN, DNS) e applicazioni Web (ad esempio, Netflix, Spotify).

Le regole del firewall che utilizzano i servizi DPI vengono generate all'interno della tabella mangle, per questo motivo tali regole hanno alcune limitazioni:

  • L'azione reject non è supportata, va utilizzata l'azione drop per bloccare il traffico

  • non è possibile utilizzare gli oggetti tutti (any) e firewall come sorgente o destinazione

  • l'azione devia su X non è supportata: l'identificazione del protocollo inizia spesso dopo che la connessione è già stata stabilita, quindi la policy di routing non può essere modificata

Anche se DPI può identificare il traffico da/per specifici siti web come Facebook, è più adatto per bloccare o priorizzare protocolli come VPN, FTP, ecc. L'accesso ai siti Web deve essere disciplinato utilizzando il Proxy web.

E' opportuno sottolineare che alcuni protocolli DPI (come Amazon) possono corrispondere a grandi CDN, quindi è opportuno non bloccare tali protocolli usando le regole DPI a meno che non si desideri impedire l'accesso a migliaia di siti.

La marcatura DPI viene applicata automaticamente anche al traffico proveniente dal firewall stesso, come il traffico HTTP dal proxy web

L'elenco completo dei protocolli DPI, insieme ai contatori per il traffico corrispondente, è disponibile nella pagina DPI sotto la categoria Stato del menu di sinistra.

Regole sulle connessioni esistenti

Per default, quando una nuova regola viene creata, si applica solo alle nuove connessioni. Ma in alcuni scenari, l'amministratore può aver la necessità di applicare la regola anche sulle connessioni esistenti.

Se l'opzione Applica alle connessioni esistenti è abilitata, la regola sarà applicata a tutte le connessioni incluse quelle già stabilite.

Esempi

Si riportano di seguito alcuni esempi di regole.

Bloccare tutto il traffico DNS proveniente dalla LAN e diretto verso Internet:

  • Azione: REJECT

  • Origine: green

  • Destinazione: red

  • Servizio: DNS (UDP porta 53)

Permettere alla rete ospiti di accedere a tutti i servizi in ascolto sul Server1:

  • Azione: ACCEPT

  • Origine: blue

  • Destinazione: Server1

  • Servizio: -

WAN

Con il termine WAN (Wide Area Network) si indica una rete pubblica esterna al server, solitamente collegata a Internet. I fornitori di collegamenti WAN sono detti provider.

Tutte le interfacce WAN sono marcate con il ruolo red ed elencate in cima alla pagina, subito sotto i grafici di utilizzo banda.Le regole possono essere create nella sezione Regole all'interno della stessa pagina.

Se sul server sono configurate due o più schede red, è necessario procedere alla configurazione dei campi Peso link, Banda entrante e Banda uscente della pagina WAN dell'applicazione Firewall.

Ogni provider configurato rappresenta una connessione WAN ed è associato ad una scheda di rete. Ciascun provider definisce un peso: maggiore è il peso maggiore è la priorità della scheda di rete associata al provider stesso.

Il sistema può utilizzare le connessioni WAN in 2 modi:

  • Balance: tutti i provider sono utilizzati contemporaneamente in base al loro peso

  • Active backup: i provider sono utilizzati uno alla vola a partire da quello con il peso più alto. Se il provider in uso perde la connessione, tutto il traffico verrà dirottato sul successivo provider.

Per determinare lo stato di un provider, il sistema invia un pacchetto ICMP (ping) ad intervalli regolari. Se il numero di pacchetti persi supera una determinata soglia, il provider viene disabilitato.

L'amministratore può configurare la sensibilità del monitoraggio attraverso i seguenti parametri:

  • percentuale di pacchetti persi

  • numero consecutivo di pacchetti persi

  • intervallo di invio fra un pacchetto e l'altro

Per modificare la modalità WAN e le opzioni di monitoraggio dei provider, fare clic sul pulsante Configura.

Il traffico di rete può essere instradato su una WAN specifica creando regole all'interno della sezione Regole in questa pagina. Dopo aver creato o modificato le regole, assicurarsi di applicare le modifiche. Fare riferimento alla sezione Applica e ripristina per maggiori dettagli.

Esempio

Dati due provider così configurati:

  • Provider1: interfaccia di rete eth1, peso 100

  • Provider2: interfaccia di rete eth0, peso 50

Se è attiva la modalità bilanciata, il server indirizzerà il doppio delle connessioni sul Provider1 rispetto al Provider2.

Se è attiva la modalità backup, il server indirizzerà tutte le connessioni sul Provider1; solo se il Provider1 diventa inutilizzabile tutte le connessioni saranno indirizzate sul Provider2.

Port forward

Il firewall impedisce che richieste iniziate dall'esterno possano accedere alle reti private. Se ad esempio all'interno della rete è presente un server web, solo i computer presenti nella rete green potranno accedere al servizio. Qualsiasi richiesta fatta da un utente esterno alle reti locali viene bloccata.

Per permettere a qualsiasi utente esterno l'accesso al server web si utilizza il port forward. Il port forward è una regola che consente un accesso limitato alle risorse delle LAN dall'esterno.

Quando si configura il server, è necessario scegliere le porte in ricezione o in ascolto su cui verrà redirezionato il traffico in ingresso nella scheda red. Nel caso di un server web, le porte in ascolto sono solitamente la porta 80 (HTTP) e 443 (HTTPS).

Quando si crea un port forward è necessario specificare almeno i seguenti parametri:

  • la porta di origine

  • la porta di destinazione, che può essere diversa dalla porta di origine

  • Il protocollo di rete come TCP, UDP, TCP & UDP, AH, ESP o GRE

  • l'indirizzo dell'host a cui deve essere instradato il traffico

  • è possibile specificare un range di porte utilizzando i due punti come separatore nella porta di origine (es: 1000:2000), in tale caso particolare il campo porta di destinazione dovrà rimanere vuoto

I port forwarding sono raggruppati per host di destinazione e supportano l'utilizzo di oggetti firewall e indirizzi IP "diretti".

Per impostazione predefinita, tutti i port forward sono disponibili solo per le richieste che arrivano dalla WAN, fare riferimento alla sezione Hairpin NAT per modificare tale comportamento.

Esempio

Dato il seguente scenario:

  • Server interno con IP 192.168.1.10, detto Server1

  • Server web in ascolto sulla porta 80 su Server1

  • Server SSH in ascolto sulla porta 22 su Server1

  • Altri servizi nell'intervallo di porte tra 5000 e 6000 sul Server1

In caso si voglia rendere accessibile dall'esterno il server web direttamente sulla porta 80, si dovrà creare un port forward fatto così:

  • porta origine: 80

  • porta destinazione: 80

  • indirizzo host: 192.168.1.10

Tutto il traffico che arriva sulle reti red del firewall sulla porta 80, verrà redirezionato alla porta 80 di Server1.

In caso si voglia rendere accessibile dall'esterno il server SSH sulla porta 2222, si dovrà creare un port forward fatto così:

  • porta origine: 2222

  • porta destinazione: 22

  • indirizzo host: 192.168.1.10

Tutto il traffico che arriva sulle reti red del firewall sulla porta 2222, verrà redirezionato alla porta 22 di Server1.

Nel caso in cui si desideri rendere il server accessibile dall'esterno usare un intervallo di porte tra 5000 e 6000, sarà necessario creare un port forward come questo:

  • porta origine: 5000:6000

  • porta destinazione:

  • indirizzo host: 192.168.1.10

Tutto il traffico che arriva sulle reti red del firewall per l'intervallo di porte compreso tra 5000 e 6000 verrà redirezionato alle stesse porte sul Server1.

Limitare accesso

Per impostazione predefinita, l'accesso ai port forwarding è concesso a chiunque. È possibile limitare l'accesso al port forward solo ad alcuni indirizzi IP o reti aggiungendo voci al campo: guilabel: Restringere l'accesso a. Questa configurazione è utile quando i servizi devono essere disponibili solo per IP o reti affidabili.

Esempio di valori validi:

  • 10.2.10.4: abilita il port forward solo per il traffico proveniente dall'IP 10.2.10.4

  • 10.2.10.0/24: abilita il port forward solo per il traffico proveniente dalla rete 10.2.10.0/24

SNAT 1:1

Uno a uno: index: source NAT (: index:` SNAT`) è un modo per far uscire determinati host dietro il firewall con un indirizzo IP Pubblico specifico diverso dal quello usato di default dal firewall. Per poter usare questa opzione è necessario disporre di un pool di indirizzi IP Pubblici ed aver configurato degli Alias sull'interfaccia RED sul firewall che gestiscano gli IP aggiuntivi. L'associazione tra l'host privato e l'ip pubblico si effettura tramite NAT 1:1

La regola si applica solo al traffico che va da un host della rete locale verso Internet.Non interessa in alcun modo il traffico generato da internet verso l'Alias IP.Per instradare traffico specifico verso l'host interno usare le normali regole di port forward.

Se dovesse essere necessario instradare tutto il traffico verso l'host interno (configurazione non raccomandata) andrà definita una regola di port forward per i protocolli TCP & UDP che abbia come porte sorgenti il range 1:65535.

Esempio

Nella nostra rete abbiamo un host di nome host_esempio che ha IP 192.168.5.122. Abbiamo inoltre associato un IP pubblico di cui disponiamo 89.95.145.226 come alias dell'interfaccia eth0 (RED).

Vogliamo quindi mappare il nostro host interno (host_esempio - 192.168.5.122) con l'IP pubblico 89.95.145.226.

Dal pannello NAT 1:1 andremo a scegliere per l'IP 89.95.145.226 (che compare come campo in sola lettura) il corrispondente host (host_esempio) che scegliamo dal combobox. Così facendo abbiamo configurato il NAT uno-a-uno per il nostro host.

Gestione banda

La gestione banda (traffic shaping) permette di applicare regole di priorità sul traffico che attraversa il firewall. In tal modo è possibile ottimizzare la trasmissione, controllare la latenza e sfruttare al meglio la banda disponibile.

Per abilitare il traffic shaping è necessario conoscere l'esatta quantità di banda disponibile in download e upload. Accedi alla pagina guilabel Network e imposta attentamente i valori di larghezza di banda.

Se la larghezza di banda di download e upload non è impostata per un'interfaccia red, le regole di shaping non saranno abilitate per quell'interfaccia.

Nota

Assicurarsi di specificare una stima accurata della banda sulle interfacce RED.Spesso il valore nominale non è corretto, utilizzare il pulsante Speedtest o gli strumenti disponibili online per stimare correttamente la velocità della connessione.

In caso di congestione da parte del provider, non c'è nulla da fare per migliorare le prestazioni.

Le classi di traffic shaping vengono utilizzate per riservare la larghezza di banda per il traffico di rete specifico. La configurazione del traffic shaping è composta da 2 passaggi:

  • Creazione di classi per gestione della banda

  • assegnazione del traffico di rete a una classe specifica

Classi

Il traffic shaping viene ottenuto controllando il modo in cui la larghezza di banda viene allocata alle classi.

Ogni classe può avere una percentuale riservata. Una percentuale riservata è la larghezza di banda che una classe avrà a disposizione in caso di necessità. La larghezza di banda disponibile è data dalla somma della larghezza di banda non impegnata e della larghezza di banda impegnata di una classe, ma non attualmente utilizzata dalla classe stessa.

Ogni classe può avere anche una banda massima. Se impostato, la classe può superare la banda stabilita,fino al banda massima. Una classe supererà la sua banda riservata solo se è disponibile abbastanza banda.

Le classi di traffic shaping possono essere definite nella pagina Gestione Banda. Quando crei una nuova classe, compila i seguenti campi:

  • Class name: un nome rappresentativo

  • : guilabel:Description: descrizione facoltativa per la classe

Limiti nella sezione: guilabel: Limiti di banda per il download:

  • Minimo: banda minima riservata per il download, se vuoto non verrà riservata banda.

  • Massimo: banda massima consentita per il download, se vuoto non verrà creato alcun limite

Limiti nella sezione: guilabel: Limiti di banda per l'upload:

  • Minimo: banda minima riservata per l'upload, se vuoto non verrà riservata banda.

  • Massimo: banda massima consentita per l'upload, se vuoto non verrà creato alcun limite

Per ogni classe la larghezza di banda può essere specificata utilizzando la percentuale di larghezza di banda di rete disponibile o con valori assoluti espressi in kbps. Per impostazione predefinita, una classe di traffic shaping viene applicata a tutte le interfacce di rete rosse. Tale comportamento può essere modificato selezionando un'interfaccia rossa esistente nel menu: guilabel: Associa a all'interno della sezione: guilabel: ʻAvanzate`.

Il sistema fornisce due classi preconfigurate:

  • high: traffico ad alta priorità generico, può essere assegnato tipo ad SSH

  • low: traffico a bassa priorità, può essere assegnato a un servizio come scambio di file peer to peer

Il sistema cerca sempre di previnire la saturazione della banda quando ci sta un carico di rete elevato.

Le classi ricevono la banda non allocata in proporzione alla loro banda minima . Per esempio, se una la classe A ha 1Mbit di banda minima e la classe B ha 2Mbit, allora la classe B riceverà il doppio della banda non allocata rispetto alla classe A. In ogni caso, tutta la banda non allocata verrà utilizzata dalle classi.

Le regole possono essere create dalla sezione Regole nella stessa pagina. Dopo aver creato o modificato delle regole, assicurarsi di apply le modifiche per metterle in produzione.

Per maggiori informazioni FireQOS tutorial: https://github.com/firehol/firehol/wiki/FireQOS-Tutorial

Oggetti firewall

Gli oggetti firewall sono delle rappresentazioni dei componenti della rete e sono utili per semplificare la creazione di regole.

Esistono 6 tipi di oggetti, 5 di questi sono relativi a sorgenti e destinazioni e sono:

  • Host: rappresentano computer locali e remoti. Esempio: web_server, goofy_pc

  • Gruppi di host: rappresentano gruppi omogenei di computer. Gli host all'interno di un gruppo devono essere raggiungibili attraverso la stessa interfaccia. Esempio: servers,``router``

  • Range IP: una lista di indirizzi IP espressa come un intervallo. Esempio: myrange, composto da IP dal 192.168.1.100 al 192.168.1.120

  • Reti CIDR: utilizzare una rete CIDR per semplificare e rendere più leggibili le regole.

    Esempio 1: gli ultimi 14 indirizzi IP della rete sono assegnati ai server (192.168.0.240/28). Esempio 2 : Più interfacce green configurate ma vogliamo creare una regola di firewall valida solo per una di queste green (192.168.2.0/24).

  • Zone: rappresentano reti di host, vanno espresse in notazione CIDR, utili se si vuole definire un segmento di rete con caratteristiche differenti dalla zona di cui fa parte. Solitamente utilizzate per esigenze molto specifiche.

    Nota

    Di default gli host che fanno parte di una Zona non possono fare alcun tipo di traffico, sarà necessario quindi creare tutte le regole necessarie a caratterizzarne il comportamento.

  • Condizione temporali: possono essere associati alle regole del firewall per limitarne l'effetto ad un determinato periodo di tempo.

    Nota

    Le regole che hanno condizioni temporali sono applicate solo per le nuove connessioni. Esempio: se si stanno bloccando le connessioni HTTP dalle 09:00 alle 18:00, tutte le connessioni stabilite prima delle ore 09:00 saranno permesse fino a quando non termineranno. Qualsiasi nuova connessione effettuata dopo le 09:00 sarà bloccata.

  • Servizi: rappresentano un servizio in ascolto su un host. Esempio: ssh, https

  • MAC address: un host identificato da un indirizzo MAC. Il MAC address deve essere collegato ad una zona inesistente.

Durante la creazione delle regole, è possibile usare i record definiti in DNS e Server DHCP e PXE come oggetti host. Inoltre ogni interfaccia di rete con un ruolo associato è automaticamente elencata fra le zone disponibili.

Connessioni

Questa pagina tiene traccia di tutte le connessioni attive. Le connessioni possono essere filtrate per Protocollo e Stato. L'elenco delle connessioni non viene aggiornato in tempo reale. Per visualizzare le nuove connessioni fare clic sul pulsante Aggiorna.

L'amministratore può cancellare una singola connessione o svuotare l'intera tabella di tracciamento della connessione usando il pulsante Elimina tutte le connessioni.