Uso de la captura de paquetes en Sophos Firewall WebAdmin
La captura de paquetes es una de las herramientas de solución de problemas más importantes en el WebAdmin de Sophos Firewall. Muestra si los paquetes llegan a una interfaz, si se reenvían, qué regla o ID de NAT está involucrada y si un paquete se descarta.
El Log Viewer muestra la decisión del firewall. La captura de paquetes muestra el flujo de paquetes. Ambos juntos son a menudo el camino más rápido hacia la causa. Si se desea probar específicamente una regla de firewall, el procedimiento adicional se adapta en Prueba de reglas de Sophos Firewall con Log Viewer, Policy tester y Packet Capture.
Es importante la clasificación: este artículo describe la versión WebAdmin de la captura de paquetes. Es ideal para una primera verificación, ya que se puede ver directamente en el navegador si los paquetes llegan, se reenvían o se descartan. Para capturas más largas, filtros muy precisos, exportación de PCAP o casos de soporte, a menudo es mejor un tcpdump a través de SSH.
Selección de herramienta
¿Qué artículo es adecuado?
La captura de paquetes es especialmente fuerte cuando el flujo real de paquetes no está claro. Para preguntas relacionadas, a veces es más rápido otro punto de partida:
| Situación | Mejor punto de partida |
|---|---|
| Se debe validar una regla de firewall individual con Log Viewer, Policy tester y Packet Capture | Prueba de reglas de Sophos Firewall con Log Viewer, Policy tester y Packet Capture |
| Una regla no coincide o aparece una ID de regla inesperada | Verificar causas de reglas de Sophos Firewall que no coinciden |
| El enfoque está en NAT ID, DNAT, SNAT, MASQ o traducción de direcciones | Entender NAT en Sophos Firewall |
| Un servidor interno se publica desde Internet | Publicar servidor mediante DNAT |
La captura muestra Drop, Violation, Invalid traffic o una razón de descarte poco clara | Analizar paquetes descartados en Sophos Firewall |
| El tráfico termina en WebAdmin, VPN Portal, SSH, DNS, SNMP u otro servicio de firewall | Configurar correctamente el acceso al dispositivo |
| La captura debe durar más de lo que se puede almacenar en PCAP o analizar en Wireshark | Sophos Firewall tcpdump: capturar paquetes mediante CLI |
| Además de la captura de paquetes, se necesitan archivos de registro locales para soporte | Guardar registros de Sophos Firewall para soporte y análisis |
Esta separación es importante: la captura de paquetes muestra paquetes y estado a nivel de paquete. Sin embargo, no reemplaza al Log Viewer para decisiones de políticas, ni al artículo de NAT para la lógica de traducción, ni a tcpdump cuando se necesita un archivo PCAP evaluable.
Cuándo es útil la captura de paquetes
La captura de paquetes ayuda especialmente con preguntas como:
- ¿El tráfico llega a la firewall?
- ¿El tráfico sale por la interfaz esperada?
- ¿Aplica una regla de firewall?
- ¿Aplica una regla de NAT?
- ¿Se descarta un paquete por política, IPS o enrutamiento?
- ¿Llega una respuesta del sistema de destino?
- ¿Se utiliza un puerto o protocolo diferente al esperado?
Si no se ve nada en el Log Viewer, la captura de paquetes suele ser el siguiente paso. Entonces se puede ver si el problema está antes de la firewall o si la firewall está procesando el tráfico.
Si el enfoque está en descartes, Violation, Rule ID, NAT ID o paquetes descartados, también es adecuado Analizar paquetes descartados en Sophos Firewall.
Ruta del menú
Se encuentra la herramienta en:
Diagnostics > Packet capture
La captura de paquetes se abre directamente en WebAdmin. Dependiendo de la versión de SFOS y la representación del navegador, parece una ventana de diagnóstico propia dentro de la vista de WebAdmin.
Antes de abrirla, el caso de prueba ya debería estar definido. La herramienta es más efectiva cuando se reproduce un flujo único y no se piensa durante la captura en qué se está buscando.
| Aclarar antes de comenzar | Ejemplo |
|---|---|
| IP de origen | Cliente, servidor, cliente VPN o interfaz de firewall |
| Destino | IP de destino, dirección publicada o FQDN con IP resuelta actualmente |
| Servicio | ICMP, TCP 443, UDP 500, NTP o puerto de aplicación específico |
| Dirección esperada | LAN a WAN, WAN a DMZ, VPN a LAN o cliente a firewall |
| Decisión esperada | Reenviado, Consumido, Generado, Violación, DNAT/SNAT o impacto de característica de seguridad |
Después de abrir, primero se debe usar Configure y establecer el filtro de captura antes de activar la prueba. Si el destino, el objetivo de CDN o la vista de NAT aún no están claros, un primer filtro en la IP de origen suele ser mejor que un filtro demasiado estrecho con una dirección de destino incorrecta. Después de la prueba reproducida, la captura debe detenerse nuevamente para que la vista no se llene de tráfico de fondo.
Log Viewer, Packet Capture o tcpdump?
Log Viewer, Packet Capture en WebAdmin y tcpdump responden a diferentes preguntas. Quien elige la herramienta incorrecta primero, a menudo busca en el lugar equivocado.
| Herramienta | Muestra principalmente |
|---|---|
| Log Viewer | Qué regla de firewall, regla de NAT, política web, control de aplicaciones, IPS o inspección SSL/TLS decidió |
| Packet Capture en WebAdmin | Si los paquetes individuales llegan, se reenvían, se consumen, se generan o se descartan |
tcpdump por SSH | Capturas más largas, archivos PCAP, casos de soporte y filtros CLI muy específicos |
Un buen ejemplo es un ping. En el Log Viewer a menudo solo se ve una entrada o una decisión resumida sobre la conexión. En Packet Capture, en cambio, se ven los paquetes ICMP individuales: Echo Request hacia el destino y Echo Reply de regreso. Windows envía por defecto cuatro ICMP Echo Requests con ping. En Packet Capture, por lo tanto, se esperan varios paquetes de ida y vuelta. Si solo se ven las solicitudes pero no llegan las respuestas, es un problema diferente a si no llega ninguna solicitud a la firewall.
Para la práctica, esto significa:
- Log Viewer responde: ¿Qué regla o módulo decidió?
- Packet Capture responde: ¿Realmente llegaron los paquetes y qué camino tomaron?
- En problemas de enrutamiento, NAT, VLAN, gateway o retorno, Packet Capture a menudo es más revelador.
- En decisiones de filtro web, control de aplicaciones, IPS o inspección SSL/TLS, también se necesita el Log Viewer.
- Para capturas que se envían a Sophos Support o socios de análisis externos,
tcpdumpgeneralmente es mejor que una captura de pantalla de WebAdmin.
Preparar la captura
Delimitar claramente antes de comenzar
La captura de paquetes no debe iniciarse sin filtrar. En redes productivas, de lo contrario, se generan muchos datos y la salida se vuelve confusa.
⚠️ La captura de paquetes nunca debe ejecutarse como una captura continua amplia en firewalls productivas. Un filtro estrecho, una prueba corta y un momento claro reducen la cantidad de datos, el riesgo de privacidad y las interpretaciones erróneas.
Antes de comenzar, se debe anotar:
- IP de origen
- IP de destino o FQDN
- Protocolo
- Puerto de origen, si es relevante
- Puerto de destino
- Interfaz o zona
- Hora de la prueba
- Aplicación afectada
- Regla de firewall o regla de NAT esperada, si se conoce
- Resultado esperado: permitido, bloqueado, DNAT, SNAT, VPN, política web o IPS
Para una prueba web, la delimitación podría verse así:
| Campo | Ejemplo |
|---|---|
| IP de origen | 172.16.10.25 |
| Destino | 93.184.216.34 |
| Protocolo | TCP |
| Puerto de destino | 443 |
| Dirección esperada | LAN a WAN |
En la práctica, siempre se debe reproducir solo un caso de prueba a la vez. Múltiples cambios paralelos en la regla de firewall, NAT, enrutamiento y configuración del cliente hacen que la salida de la captura sea difícil de evaluar. Si la prueba afecta a un problema de usuario, también se debe anotar el usuario registrado, el dispositivo afectado y la hora exacta.
Configurar el filtro de captura
A través de Configure se establece un filtro lo más estrecho posible.
Filtros típicos:
- IP de origen del cliente
- IP de destino del servidor
- Puerto de destino
- Protocolo TCP, UDP o ICMP
- Interfaz
Si no se conoce el servidor de destino, primero se puede filtrar solo por la IP de origen. Si después se ven demasiados paquetes, se puede restringir más.
Sophos Firewall utiliza la sintaxis de Berkeley Packet Filter, abreviada BPF. El filtro de captura decide qué paquetes se escriben en el buffer de captura. Por lo tanto, debe establecerse correctamente antes de la prueba.
Ejemplos típicos de BPF:
| Objetivo | Ejemplo de BPF |
|---|---|
| Host específico | host 10.10.10.1 |
| IP de origen específica | src host 10.10.10.1 |
| IP de destino específica | dst host 10.10.10.1 |
| Red específica | net 10.10.10.0 |
| Puerto específico | port 443 |
| Puerto de destino específico | dst port 443 |
| Host y puerto específicos | host 10.10.10.1 and port 443 |
| ICMP/Ping | proto ICMP |
| TCP | proto TCP |
| UDP | proto UDP |
Para una prueba web muy específica, un filtro podría verse así:
host 172.16.10.25 and host 93.184.216.34 and port 443
Para una prueba de ping, a menudo basta con:
host 172.16.10.25 and proto ICMP
Si el filtro es demasiado estrecho
Un filtro de captura estrecho es importante, pero no debe ocultar el error. Especialmente en DNS, NAT, CDNs y rutas de retorno, se debe decidir conscientemente si primero se filtra lo suficientemente amplio o inmediatamente de manera muy precisa.
Piedras de tropiezo típicas:
| Situación | Mejor enfoque de filtro |
|---|---|
| El destino solo se conoce como FQDN | Primero verificar la resolución DNS o comenzar con la IP de origen y luego restringir a la IP de destino visible |
| El sitio web utiliza CDN o múltiples direcciones IP | No usar solo una dirección IP de destino antigua, sino observar el tráfico de prueba actual |
| Se verifica DNAT | Dependiendo del punto de vista, considerar la IP de destino pública, el servidor interno y el puerto |
| SNAT o MASQ están involucrados | Separar mentalmente la IP de origen antes de NAT y la fuente traducida en la interfaz de salida |
| Faltan paquetes de respuesta | Elegir un filtro que mantenga visibles las direcciones de ida y vuelta |
| Problema de usuario o aplicación | Primero establecer IP de origen y hora de manera estrecha, luego restringir puerto, destino o ID de regla |
Para la primera ejecución, un filtro en la IP de origen a menudo es más útil que un filtro demasiado preciso con una IP de destino incorrecta. Si el flujo relevante es visible, se puede filtrar más estrechamente en la segunda ejecución. En errores de NAT, también se debe verificar si se está viendo antes o después de la traducción.
En la vista de WebAdmin, se ve la cadena BPF activa sobre la lista de paquetes después de guardar. La primera captura de pantalla muestra la configuración del filtro, la segunda captura de pantalla la lista de resultados con el filtro activo.


⚠️ Los datos de PCAP pueden contener direcciones IP, nombres de host, detalles de protocolo y, dependiendo del protocolo, también datos de usuario. Las capturas solo deben compartirse con personas o socios que puedan ver estos datos.
Ejecutar la captura
Iniciar y reproducir la captura
- Establecer filtro.
- Activar la captura de paquetes con el control deslizante.
- Reproducir el problema de manera específica.
- Detener la captura nuevamente.
- Analizar los resultados.
- Vaciar la captura si se inicia una nueva prueba.
Sophos Firewall muestra el estado y el buffer:
| Visualización | Significado |
|---|---|
Trace On | La captura de paquetes está en ejecución |
Trace Off | La captura de paquetes está desactivada |
Buffer size | Tamaño del buffer de captura, en la documentación de Sophos 2048 KB |
Buffer used | Buffer utilizado actualmente |
Si el buffer está lleno, la captura se detiene automáticamente. Luego se debe vaciar con Clear antes de grabar nuevamente de manera efectiva. Por eso es importante un filtro estrecho.
En la configuración del filtro, también se puede establecer cuántos bytes por paquete se capturan. Para muchos análisis iniciales, la información del encabezado es suficiente. Si se necesitan más datos de usuario, se deben capturar más bytes, pero se debe tener en cuenta la privacidad y el tamaño del buffer.
Interpretar la salida
Comprender columnas importantes
La captura de paquetes muestra muchos campos. Para la práctica, estos son especialmente importantes:
| Campo | Significado |
|---|---|
| Time | Momento del paquete |
| In interface | Interfaz por la que entró el paquete |
| Out interface | Interfaz por la que sale el paquete |
| Source IP | Dirección de origen |
| Destination IP | Dirección de destino |
| Packet type | Protocolo o tipo de paquete |
| Ports [src, dst] | Puerto de origen y destino |
| NAT ID | Regla de NAT correspondiente |
| Rule ID | Regla de firewall correspondiente |
| Status | Estado del paquete |
| Reason | Razón del descarte o violación |
| Connection status | Estado de la conexión |
| Gateway ID | Gateway utilizado |
| Username | Usuario reconocido |
| IPS policy ID | Política de IPS aplicada |
| Application filter ID | Política de control de aplicaciones aplicada |
Estos campos son valiosos porque cierran la brecha entre “la regla parece correcta” y “el tráfico realmente fluye así”.
A través de Show additional properties o la vista detallada, se pueden ver, dependiendo de la versión, más información como Connection ID, Web filter ID, Application ID, Web category ID, Gateway ID, Username u otras IDs de políticas. Estos detalles ayudan cuando un paquete no solo es procesado por una regla de firewall, sino también por Web, Application Control, IPS u otros módulos.
Interpretar correctamente el estado
| Estado | Significado |
|---|---|
| Incoming | El paquete fue recibido en una interfaz |
| Forwarded | El paquete fue reenviado |
| Consumed | El paquete está destinado a la firewall misma |
| Generated | El paquete fue generado por la firewall |
| Violation | El paquete fue descartado debido a una violación de política |
Si solo se ve Incoming y no Forwarded, el paquete probablemente se queda en la firewall. Entonces se deben verificar la regla de firewall, NAT, enrutamiento y características de seguridad.
Si Forwarded es visible pero no llega respuesta, el problema a menudo está en el sistema de destino, la ruta de retorno, NAT o un punto final.
En un ping exitoso, típicamente se ven paquetes en ambas direcciones. Si Windows envía cuatro pings, se ven varios ICMP Echo Requests del cliente al destino y varios Echo Replies de regreso. Si faltan las respuestas, se debe verificar la ruta de retorno, el sistema de destino, la firewall local del sistema de destino, NAT o un punto final. Si ya faltan las solicitudes, se debe verificar el cliente, el gateway, VLAN, el puerto del switch o si el tráfico llega a Sophos Firewall.
Leer correctamente Consumed y Generated
Consumed y Generated se interpretan fácilmente de manera incorrecta. Estos estados no significan automáticamente que falta una regla de firewall normal.
| Estado | Caso típico | Qué verificar después |
|---|---|---|
Consumed | El paquete está destinado a la propia Sophos Firewall | Acceso al dispositivo, ACL de servicio local, configuración del servicio, permisos de administrador o usuario |
Generated | El paquete fue generado por la propia Sophos Firewall | Servicio del sistema, DNS, NTP, VPN, actualización, monitoreo de gateway o respuesta de la firewall |
Ejemplos de Consumed son accesos a WebAdmin, User Portal, VPN Portal, SSH, DNS, SNMP, IPsec o SSL VPN de la propia firewall. Este tráfico no se trata como tráfico de paso normal a través de una regla LAN-to-WAN o WAN-to-DMZ. Si un paquete en la captura muestra Consumed, primero se debe aclarar si el cliente realmente quería alcanzar la propia firewall.
Para estos casos, Administration > Device access y Local Service ACL son más importantes que una regla de firewall normal. El endurecimiento de estos accesos se describe en Asegurar el acceso a Sophos Firewall: Configurar correctamente el acceso al dispositivo.
Usar el filtro de visualización
El filtro de captura limita qué paquetes se registran. El filtro de visualización filtra la vista ya registrada. Esto es útil si se ha iniciado intencionalmente una captura un poco más amplia y luego se desea mostrar solo ciertos paquetes.
En el filtro de visualización se puede filtrar, entre otros, por estos campos:
- Nombre de la interfaz
- Tipo de Ethernet, por ejemplo, IPv4, IPv6 o ARP
- Tipo de paquete
- IP de origen y puerto de origen
- IP de destino y puerto de destino
- Razón
- Estado
- Rule ID
- Usuario
- Connection ID
Para la solución de problemas, Status, Reason, Rule ID, Source IP, Destination IP y Destination port son especialmente útiles. Si hay muchos paquetes en la captura, se puede reducir rápidamente a la parte relevante sin tener que reiniciar la prueba de inmediato.
Leer NAT en la captura de paquetes
En NAT, se debe tener en cuenta que un paquete se ve diferente antes y después de NAT. La captura de paquetes puede hacer visibles la NAT ID, Rule ID y las direcciones modificadas.
En problemas de NAT, se debe verificar:
- ¿Se ve el paquete con la dirección original?
- ¿Se ve el paquete después de la traducción?
- ¿Se muestra la NAT ID esperada?
- ¿El paquete sale por la interfaz de salida esperada?
- ¿Llega una respuesta?
Para DNAT, además: La regla de firewall utiliza la zona de destino después de NAT, pero la IP de destino antes de NAT. Esto puede parecer inusual al principio.
Más información: Entender NAT en Sophos Firewall: SNAT, DNAT, MASQ, PAT.
Combinar Packet Capture y Log Viewer
El mejor procedimiento es:
- Abrir Log Viewer.
- Iniciar Packet Capture con un filtro estrecho.
- Reproducir la prueba.
- En Packet Capture, verificar si los paquetes llegan y se reenvían.
- En Log Viewer, verificar qué regla o módulo decidió.
- Cambiar a la log correspondiente si es necesario.
El Log Viewer muestra, por ejemplo, eventos de firewall, web, inspección SSL/TLS, IPS o control de aplicaciones. Packet Capture, en cambio, muestra el flujo de paquetes a nivel de interfaz.
Especialmente en ping o conexiones TCP simples, la combinación es importante. El Log Viewer solo puede mostrar que una conexión fue permitida o bloqueada. Packet Capture muestra además si los paquetes de respuesta regresan, si NAT aplica, si se utiliza la interfaz de salida correcta y si la ruta de retorno es correcta.
Casos de análisis típicos
El cliente no alcanza Internet: Configurar la captura en la IP de origen y TCP 443. Si no llega ningún paquete, verificar cliente, VLAN, gateway o switch. Si el paquete entra pero no sale, verificar regla de firewall, NAT o enrutamiento.
DNAT no funciona: Configurar la captura en la IP de destino pública y el puerto externo. Si no llega ningún paquete, verificar router del proveedor, reenvío de puertos, grupo de seguridad en la nube o WAN. Si el paquete llega pero no va al servidor interno, verificar regla de DNAT y regla de firewall.
El tráfico VPN no funciona: Configurar la captura en la interfaz de túnel, interfaz XFRM o redes de origen/destino relevantes. Además, verificar strongswan.log, charon.log o xfrmi.log.
El filtro web bloquea inesperadamente: En Packet Capture, generalmente solo se ve el flujo de paquetes. La decisión en sí es mejor verificarla en Log Viewer bajo web, control de aplicaciones o inspección SSL/TLS.
Las pruebas pequeñas funcionan, las transferencias grandes se cuelgan: Configurar la captura en el cliente afectado y el destino, y prestar atención a retransmisiones, respuestas faltantes o tamaños de paquete inusuales. Si ping, inicio de sesión o pequeñas solicitudes HTTP funcionan, pero descargas grandes, RDP, VoIP o aplicaciones VPN se cuelgan, también se debe verificar MTU, MSS, PPPoE, sobrecarga de VPN y fragmentación. El procedimiento está en Verificar MTU y MSS en Sophos Firewall para problemas de VPN.
Interpretaciones erróneas típicas
Packet Capture muestra mucho, pero no siempre lo que se espera primero. Algunas interpretaciones erróneas son especialmente comunes en casos de soporte.
| Observación | No concluir inmediatamente | Mejor verificar |
|---|---|---|
El paquete está en Incoming | La firewall es culpable | ¿Hay después Forwarded, Consumed, Violation o una decisión de regla adecuada? |
El paquete es Forwarded | La conexión debe funcionar | Verificar paquete de respuesta, ruta de retorno, sistema de destino y firewall local del sistema de destino |
| NAT ID está vacío | NAT es incorrecto | No todo el tráfico necesita NAT; primero verificar el diseño de NAT esperado |
| Rule ID es inesperada | La regla deseada está defectuosa | Verificar orden de reglas, zonas, objetos, coincidencia de usuario y grupo de reglas |
| No se ven paquetes | La firewall bloquea | Verificar filtro, interfaz, gateway del cliente, VLAN, puerto del switch y dispositivos anteriores |
| Solo se ven solicitudes | La regla de salida no es suficiente | Verificar ruta de retorno, NAT, punto final, firewall de destino y enrutamiento asimétrico |
Si la captura de paquetes muestra una Rule ID inesperada, no se deben cambiar varias reglas de inmediato. Es mejor primero comparar con el Log Viewer y la posición de la regla. Para un emparejamiento sistemático, es adecuado Verificar causas de reglas de Sophos Firewall que no coinciden.
Límites, protección de datos y uso compartido
Privacidad y compartir capturas
Los datos de captura de paquetes son datos operativos. Aunque a menudo solo se ven encabezados, pueden revelar direcciones IP internas, objetivos públicos, nombres de usuario, nombres de host, puertos, protocolos y relaciones de comunicación. En protocolos no cifrados, también pueden ser visibles datos de usuario.
Antes de compartir, se debe verificar:
- ¿La captura contiene nombres de clientes, nombres de host internos o direcciones IP públicas?
- ¿Son reconocibles usuarios, sistemas o aplicaciones?
- ¿Está autorizado el destinatario para ver esta información?
- ¿Es suficiente una captura de pantalla de las líneas relevantes o realmente se necesita un archivo PCAP?
- ¿Debe acortarse o anonimizarse la captura antes?
Para casos de soporte, a menudo es mejor una captura tcpdump específica con un filtro limpio que una captura amplia de WebAdmin. Si también se necesitan archivos de registro, ayuda Guardar registros de Sophos Firewall para soporte y análisis.
Cuándo es mejor tcpdump
La captura de paquetes de WebAdmin es ideal para análisis rápidos directamente en el navegador. Se ve rápidamente si los paquetes llegan, se reenvían, se consumen, se generan o se descartan. Para una primera delimitación, generalmente es el inicio correcto.
tcpdump es mejor cuando la captura no solo se necesita como vista de pantalla, sino como archivo evaluable o como rastro técnico más largo.
| Situación | Mejor herramienta | Por qué |
|---|---|---|
| Prueba corta con Rule ID, NAT ID y estado visibles | Captura de paquetes de WebAdmin | directamente en WebAdmin, bien combinable con Log Viewer |
| Archivo PCAP para Wireshark, Sophos Support o análisis externo | tcpdump | escribe un archivo que se puede examinar más tarde de manera limpia |
| Error esporádico que no se puede reproducir en pocos segundos | tcpdump | puede ejecutarse más tiempo de manera específica, pero debe limitarse |
| Filtros muy precisos en hosts, puertos, protocolos o comparación de interfaces | tcpdump | los filtros CLI-BPF son más flexibles y reproducibles |
| Decisión de política o NAT poco clara | Captura de paquetes de WebAdmin más Log Viewer | tcpdump no muestra Rule ID o NAT ID específicas de Sophos |
La diferencia más importante: tcpdump muestra paquetes, pero no decisiones específicas de Sophos. Si se necesita saber qué regla de firewall, regla de NAT, política web, política de IPS o regla de inspección SSL/TLS estuvo involucrada, se necesita seguir usando Log Viewer, Captura de paquetes de WebAdmin o el archivo de registro correspondiente.
Antes de tcpdump, se deben habilitar conscientemente SSH o Advanced Shell. La captura debe filtrarse estrechamente, limitarse en el tiempo y eliminarse después del análisis. Una PCAP amplia en una firewall productiva puede contener rápidamente datos sensibles y mucho tráfico innecesario.
Más información: Sophos Firewall tcpdump: capturar paquetes mediante CLI.
Lista de verificación
- Anotar el caso de prueba con origen, destino, puerto, protocolo y hora.
- Conocer la regla de firewall y la regla de NAT esperadas, si es posible.
- Establecer el filtro de captura estrechamente.
- En DNS, NAT o objetivos de CDN, verificar si el filtro realmente captura las direcciones de ida y vuelta.
- Reproducir solo un caso de prueba a la vez.
- Detener la captura de paquetes después de la prueba.
- Diferenciar conscientemente
Incoming,Forwarded,Consumed,GeneratedyViolation. - Comparar Rule ID y NAT ID con Log Viewer.
- En caso de respuesta faltante, verificar ruta de retorno, NAT, sistema de destino y punto final.
- En transferencias grandes que se cuelgan, verificar MTU/MSS, fragmentación y sobrecarga de VPN.
- Verificar capturas en busca de datos sensibles antes de compartir.
- Usar
tcpdumppara capturas más largas o archivos PCAP.
FAQ
¿Cuándo se debe usar la captura de paquetes en Sophos Firewall?
¿Cuál es la diferencia entre el filtro de captura y el filtro de visualización?
¿Por qué solo se ve Incoming en la captura de paquetes, pero no Forwarded?
¿Qué significa Consumed en la captura de paquetes?
Consumed significa que el paquete está destinado a la propia Sophos Firewall. Entonces se debe verificar el acceso al dispositivo, ACL de servicio local y el servicio de firewall afectado, no solo las reglas de firewall normales.¿Cuándo es mejor tcpdump que la captura de paquetes en WebAdmin?
tcpdump es mejor para capturas más largas, archivos PCAP, casos de soporte, filtros CLI muy precisos y análisis que se evaluarán más tarde en Wireshark o con Sophos Support.