Usar una regla Bypass de Sophos Firewall con seguridad
Una regla Bypass en Sophos Firewall no es un objeto Allow normal ni sustituye a una regla de firewall correctamente definida. El tráfico configurado evita la ruta normal del firewall stateful. Con ello también se evitan muchas funciones en las que se confía a diario: reglas de firewall, Log Viewer, IPS, Webfilter, Application Control, Malware Scanning u otras Security Features.
Por eso, las reglas Bypass solo son razonables en casos especiales muy acotados, por ejemplo para un troubleshooting breve con indicaciones concretas, una excepción de compatibilidad muy específica o un workaround claramente documentado. Para accesos normales, problemas de rendimiento o false positives, primero deben revisarse reglas, excepciones o policies específicas.
⚠️ Una regla Bypass reduce masivamente la visibilidad y el efecto protector del firewall. Las reglas Bypass deben estar siempre muy acotadas, documentadas, probadas y eliminadas de nuevo al finalizar.
Motivos reales típicos son casos especiales con routing asimétrico, comportamiento de protocolo inusual o un análisis temporal del fabricante. Cuando la causa esté clara, la solución debe trasladarse de nuevo a reglas normales de firewall, NAT, routing, excepciones IPS, Web o TLS.
Qué tipo de Bypass se trata aquí
El término “Bypass” aparece varias veces en entornos Sophos. Este artículo trata exclusivamente de bypass-stateful-firewall-config en la Device Console.
- Stateful-Firewall-Bypass: configuración CLI que desvía tráfico de host o red definido de la ruta normal del firewall stateful.
- DoS bypass rule: excepción bajo Spoof Protection y DoS Settings para comprobaciones DoS; no es lo mismo que Stateful-Firewall-Bypass.
- IPS
Bypass session: acción de regla IPS en la que un acierto IPS se trata de forma distinta para la sesión. - FastPath / Firewall acceleration: aceleración normal de flujos de confianza en appliances o plataformas compatibles. No es un Stateful-Firewall-Bypass manual ni debe entenderse como workaround para problemas de reglas.
- LAN bypass / fail-to-wire: función de hardware de determinados appliances o módulos, no una regla SFOS.
- Excepción normal de firewall: ajuste de firewall, NAT, Web, TLS, IPS o Application Control en WebAdmin.
Esta separación es importante porque las medidas tienen riesgos distintos. Una excepción DoS o una acción IPS no es automáticamente inocua, pero está vinculada a una función más concreta. Un Stateful-Firewall-Bypass, en cambio, puede evitar visibilidad y evaluación de policies de forma muy amplia si se elige una fuente o un destino demasiado grande.
Revisar antes mejores alternativas
Antes de crear una regla Bypass debe estar claro por qué los mecanismos normales no bastan.
- La regla de firewall no coincide: Comprobar orden de reglas, Source/Destination, Services y logs.
- IPS bloquea una aplicación: Consultar política de IPS, firma, excepción o análisis de falsos positivos.
- La inspección TLS interrumpe una aplicación: Ajustar regla de inspección SSL/TLS o exclusión de TLS.
- El filtro web bloquea una URL: Verificar política web, categoría, grupo de URL o excepción web.
- Application Control actúa de forma incorrecta: Verificar Application-Control-Policy y aplicación detectada.
- NAT o routing parecen incorrectos: Comprobar reglas NAT, ruta de retorno, SD-WAN y Packet Capture.
Para el análisis de reglas y logs ayudan Probar una regla de Sophos Firewall con Log Viewer y Packet Capture, La regla de firewall no aplica: comprobar causas y Entender y configurar correctamente reglas de Sophos Firewall.
Límites de uso
Una regla Bypass solo debe configurarse si se cumplen todos estos puntos:
- El origen y el destino son redes o hosts específicos, no
Any. - Se entienden el sentido y el sentido de retorno.
- Hay un ticket, un motivo y un responsable.
- Se define una ventana de mantenimiento o ventana de prueba.
- La configuración existente fue documentada previamente.
- Hay un comando de reversión disponible.
- Después de la prueba se comprueba que la regla se ha eliminado de nuevo.
Una regla Bypass no es adecuada para una “apertura rápida” permanente entre redes. Si una conexión debe permitirse de forma permanente, debe estar en una regla de firewall normal con logging y Security Features adecuadas.
Hay que tener especial cuidado con rutas NAT. Si el flow necesita SNAT, DNAT, VPN-NAT u otra traducción, un Stateful-Firewall-Bypass puede evitar la decisión NAT real o falsear la prueba. En esos casos conviene comprobar primero NAT Rule ID, Firewall Rule ID, Packet Capture y routing en lugar de saltarse de forma global la ruta stateful.
Conexión a la Device Console
Los comandos se ejecutan en la Device Console de Sophos Firewall. Para ello se conecta por SSH con el usuario admin y se abre la Device Console en el menú de consola.
El acceso SSH solo debe permitirse desde una red de administración de confianza. La preparación está descrita en Conectar Sophos Firewall por SSH.
Antes de realizar cualquier cambio, primero debe mostrar y documentar el estado actual.
show advanced-firewall

Elegir correctamente host o red
Sophos permite entradas Bypass para hosts o redes individuales. Para troubleshooting, un host individual casi siempre es mejor que una subred completa, porque menos tráfico queda invisible.
- Host de origen a host de destino:
dest_host <IP-destino> source_host <IP-origen> - Red de origen a host de destino:
dest_host <IP-destino> source_network <IP-red> source_netmask <mascara> - Host de origen a red de destino:
dest_network <IP-red> dest_netmask <mascara> source_host <IP-origen> - Red de origen a red de destino:
dest_network <IP-red> dest_netmask <mascara> source_network <IP-red> source_netmask <mascara>
Redes amplias como zonas completas de clientes, servidores o VPN casi nunca son un buen punto de partida. Es mejor una prueba estrecha con un host de origen, un host de destino y un servicio claro. Solo cuando el caso de prueba afecta realmente a varios hosts debería hablarse de una red pequeña.
El sentido también es importante. Sophos describe que para conexiones completas a menudo se necesitan entradas en ambos sentidos. Pero esto debe hacerse de forma consciente: no reconstruir automáticamente una lógica Any, sino entender el retorno concreto.
Sophos no indica un límite práctico para el número de hosts o redes en esta lista Bypass. Precisamente eso es arriesgado en operación: muchos registros pequeños son técnicamente posibles, pero se vuelven rápidamente poco claros. Si parecen necesarios varios registros Bypass, suele ser señal de que el problema real de routing, NAT, policy o aplicación aún no se ha entendido con limpieza.
Definir el marco del cambio antes del Bypass
Una regla Bypass no debe configurarse espontáneamente durante una búsqueda de errores en curso. Antes de ejecutar el comando add, debe estar claro qué prueba concreta se quiere responder y cómo se revertirá el cambio.
Para garantizar un período de prueba o mantenimiento limpio, tenga en cuenta estos puntos:
- Pregunta de prueba: ¿El tráfico definido funciona sin una ruta de firewall con estado?
- Flow afectado: por ejemplo
192.168.33.0/24a192.168.46.0/24. - Estado inicial: Salida de
show advanced-firewallantes del cambio. - Retorno planificado: comando
deladecuado para cada sentido configurado. - Criterio de parada: tráfico inesperado, nueva incidencia o destino equivocado.
- Control posterior:
show advanced-firewall, Packet Capture y prueba funcional sin Bypass.
El comando de retirada es especialmente importante. Debe prepararse antes de crear la regla, no buscarse después de la prueba. Así el cambio sigue siendo controlable incluso si durante la ventana de mantenimiento aparece presión.
Ejemplo: crear una regla Bypass
Ejemplo:
- Red de origen:
192.168.33.0/24. - Red de destino:
192.168.46.0/24 - Máscara de red de origen:
255.255.255.0 - Máscara de red de destino:
255.255.255.0
La regla para la primera dirección:
set advanced-firewall bypass-stateful-firewall-config add dest_network 192.168.46.0 dest_netmask 255.255.255.0 source_network 192.168.33.0 source_netmask 255.255.255.0
Para el sentido de retorno se necesita una segunda regla si el tráfico de la red de destino hacia la red de origen también debe usar el Bypass.
set advanced-firewall bypass-stateful-firewall-config add dest_network 192.168.33.0 dest_netmask 255.255.255.0 source_network 192.168.46.0 source_netmask 255.255.255.0
Luego verifique nuevamente:
show advanced-firewall
Si solo se prueba un cliente y un servidor, conviene usar hosts en lugar de redes:
set advanced-firewall bypass-stateful-firewall-config add dest_host 192.168.46.20 source_host 192.168.33.10
Para el sentido contrario, de forma correspondiente:
set advanced-firewall bypass-stateful-firewall-config add dest_host 192.168.33.10 source_host 192.168.46.20
Comprobar el efecto
Después de configurar la regla no basta con probar si la aplicación funciona. Lo decisivo es si el Bypass afecta realmente solo al tráfico previsto.
Puntos de control:
show advanced-firewallmuestra exactamente las redes esperadas.- No hay redes más anchas de lo previsto.
- El sentido y el sentido de retorno están configurados conscientemente.
- El tráfico de prueba solo funciona entre orígenes y destinos esperados.
- Las redes no involucradas no utilizan el bypass.
- Ya no se esperan registros normales del firewall para este tráfico como base para la toma de decisiones.
- Packet Capture solo muestra el tráfico durante la prueba programada.
- La retirada se ha realizado inmediatamente después de la prueba.
Si Log Viewer y los contadores de reglas dejan de mostrar eventos de repente, puede deberse al propio Bypass. En este estado, Packet Capture ayuda más que Log Viewer.
En routing asimétrico debe comprobarse además si el retorno pasa realmente por el firewall esperado. Un Bypass puede tapar síntomas cuando la causa real es un default gateway incorrecto, una ruta incompleta o NAT en el lado equivocado.
Si se sospecha un problema de rendimiento u offloading, Bypass no debe confundirse con FastPath. FastPath, Firewall acceleration, PKI acceleration e IPsec acceleration son mecanismos propios. Según el tráfico y la plataforma, el tráfico normal puede acelerarse sin crear una regla Bypass. A la inversa, una regla Bypass no convierte un mal diseño en una arquitectura de rendimiento limpia.
Eliminar una regla Bypass
Para eliminarla se usa el mismo comando con del en lugar de add.
Eliminar la primera dirección:
set advanced-firewall bypass-stateful-firewall-config del dest_network 192.168.46.0 dest_netmask 255.255.255.0 source_network 192.168.33.0 source_netmask 255.255.255.0
Eliminar el sentido de retorno:
set advanced-firewall bypass-stateful-firewall-config del dest_network 192.168.33.0 dest_netmask 255.255.255.0 source_network 192.168.46.0 source_netmask 255.255.255.0
Luego verifique nuevamente:
show advanced-firewall
La salida no debería contener ya entradas Bypass inesperadas.
Volver a proteger correctamente después de la prueba
Una regla Bypass eliminada no resuelve automáticamente el problema original. La prueba solo muestra que la ruta normal del firewall probablemente estaba implicada en el tráfico probado. Después, la causa debe trasladarse conscientemente a una configuración soportada y visible.
Preguntas de seguimiento útiles:
- ¿Una regla de firewall normal era demasiado estrecha o estaba mal ubicada? Comprobar orden de reglas, zonas, Source, Destination, Service y asignación de usuarios.
- ¿Bloqueó IPS, Web Protection o Application Control? Documentar firma, categoría, policy o excepción específica.
- ¿Participó TLS Inspection? Comprobar con limpieza regla TLS, certificado, excepción y aplicación afectada.
- ¿Era un tema de routing o NAT? Comparar NAT Rule ID, ruta de retorno, SD-WAN Route y Packet Capture.
- ¿El tráfico será necesario de forma permanente? Crear una regla de firewall normal con logging, owner y fecha de review.
Después de la retirada debe realizarse al menos una prueba de control sin Bypass. Si el tráfico vuelve a funcionar solo con Bypass, el caso aún no está cerrado. Entonces hace falta una regla, policy, NAT o adaptación de Inspection limpia, visible en Log Viewer y verificable más adelante.
Para cambios permanentes también debe documentarse qué Security Features permanecen activas deliberadamente y qué excepción es realmente necesaria. Una regla Bypass temporal no debe convertirse silenciosamente en arquitectura operativa.
Documentación
Cada regla Bypass debe documentarse:
- Fecha y hora
- Administrador
- Motivo
- Red de origen y red de destino
- Aplicación afectada
- Duración prevista
- Evidencia de prueba
- Momento de eliminación
- Tarea posterior si debe crearse una regla o excepción limpia
Sin documentación, las reglas Bypass pueden quedar fácilmente desapercibidas. Esto es especialmente peligroso porque una revisión normal de las reglas de firewall o de Log Viewer no basta para detectar la brecha de protección.
Lista de verificación
Antes del Bypass:
- Regla de firewall normal, NAT, enrutamiento, IPS, web, inspección TLS y control de aplicaciones verificados.
- Pregunta de prueba específica definida.
- Origen, destino, dirección y retorno documentados.
- Se seleccionó la variante más estrecha posible, prefiriendo el host en lugar de la red.
- Estado actual guardado con
show advanced-firewall. - Comando
delpreparado para cada dirección planificada. - Ticket, owner, ventana temporal y momento de retirada definidos.
Durante la prueba:
- Bypass activo solo durante el periodo planificado.
- Tráfico de prueba documentado con origen, destino, servicio y hora.
- Captura de paquetes o registro del sistema de destino utilizado como prueba.
- No hay redes o aplicaciones adicionales afectadas involuntariamente.
Después de la prueba:
- Todas las entradas Bypass eliminadas con
del. show advanced-firewallno muestra reglas Bypass inesperadas.- Prueba repetida sin Bypass o problema posterior documentado.
- Solución permanente planificada como regla normal, política, NAT, ajuste de enrutamiento o inspección.
- Ticket y documentación operativa actualizada.
Errores típicos
- Redes demasiado amplias: Más tráfico del previsto evita el firewall.
- Sentido de retorno olvidado: La aplicación solo funciona parcialmente o de forma asimétrica.
- Regla no eliminada: Surge una brecha de protección permanente.
- Sin ticket ni comentario: Más tarde no queda claro por qué existe el bypass.
- Log Viewer esperado como prueba: El tráfico no aparece como decisiones normales de firewall.
- Bypass usado en lugar de una excepción específica: Security Features se desactivan innecesariamente.
- Cambio sin ventana de mantenimiento: Los errores tienen un efecto productivo inmediato.