Ir al contenido
Avanet

Uso de la captura de paquetes en Sophos Firewall WebAdmin

La captura de paquetes es una de las herramientas de solución de problemas más importantes en el WebAdmin de Sophos Firewall. Muestra si los paquetes llegan a una interfaz, si se reenvían, qué regla o ID de NAT está involucrada y si un paquete se descarta.

El Log Viewer muestra la decisión del firewall. La captura de paquetes muestra el flujo de paquetes. Ambos juntos son a menudo el camino más rápido hacia la causa. Si se desea probar específicamente una regla de firewall, el procedimiento adicional se adapta en Prueba de reglas de Sophos Firewall con Log Viewer, Policy tester y Packet Capture.

Es importante la clasificación: este artículo describe la versión WebAdmin de la captura de paquetes. Es ideal para una primera verificación, ya que se puede ver directamente en el navegador si los paquetes llegan, se reenvían o se descartan. Para capturas más largas, filtros muy precisos, exportación de PCAP o casos de soporte, a menudo es mejor un tcpdump a través de SSH.

Selección de herramienta

¿Qué artículo es adecuado?

La captura de paquetes es especialmente fuerte cuando el flujo real de paquetes no está claro. Para preguntas relacionadas, a veces es más rápido otro punto de partida:

SituaciónMejor punto de partida
Se debe validar una regla de firewall individual con Log Viewer, Policy tester y Packet CapturePrueba de reglas de Sophos Firewall con Log Viewer, Policy tester y Packet Capture
Una regla no coincide o aparece una ID de regla inesperadaVerificar causas de reglas de Sophos Firewall que no coinciden
El enfoque está en NAT ID, DNAT, SNAT, MASQ o traducción de direccionesEntender NAT en Sophos Firewall
Un servidor interno se publica desde InternetPublicar servidor mediante DNAT
La captura muestra Drop, Violation, Invalid traffic o una razón de descarte poco claraAnalizar paquetes descartados en Sophos Firewall
El tráfico termina en WebAdmin, VPN Portal, SSH, DNS, SNMP u otro servicio de firewallConfigurar correctamente el acceso al dispositivo
La captura debe durar más de lo que se puede almacenar en PCAP o analizar en WiresharkSophos Firewall tcpdump: capturar paquetes mediante CLI
Además de la captura de paquetes, se necesitan archivos de registro locales para soporteGuardar registros de Sophos Firewall para soporte y análisis

Esta separación es importante: la captura de paquetes muestra paquetes y estado a nivel de paquete. Sin embargo, no reemplaza al Log Viewer para decisiones de políticas, ni al artículo de NAT para la lógica de traducción, ni a tcpdump cuando se necesita un archivo PCAP evaluable.

Cuándo es útil la captura de paquetes

La captura de paquetes ayuda especialmente con preguntas como:

  • ¿El tráfico llega a la firewall?
  • ¿El tráfico sale por la interfaz esperada?
  • ¿Aplica una regla de firewall?
  • ¿Aplica una regla de NAT?
  • ¿Se descarta un paquete por política, IPS o enrutamiento?
  • ¿Llega una respuesta del sistema de destino?
  • ¿Se utiliza un puerto o protocolo diferente al esperado?

Si no se ve nada en el Log Viewer, la captura de paquetes suele ser el siguiente paso. Entonces se puede ver si el problema está antes de la firewall o si la firewall está procesando el tráfico.

Si el enfoque está en descartes, Violation, Rule ID, NAT ID o paquetes descartados, también es adecuado Analizar paquetes descartados en Sophos Firewall.

Ruta del menú

Se encuentra la herramienta en:

Diagnostics > Packet capture

La captura de paquetes se abre directamente en WebAdmin. Dependiendo de la versión de SFOS y la representación del navegador, parece una ventana de diagnóstico propia dentro de la vista de WebAdmin.

Antes de abrirla, el caso de prueba ya debería estar definido. La herramienta es más efectiva cuando se reproduce un flujo único y no se piensa durante la captura en qué se está buscando.

Aclarar antes de comenzarEjemplo
IP de origenCliente, servidor, cliente VPN o interfaz de firewall
DestinoIP de destino, dirección publicada o FQDN con IP resuelta actualmente
ServicioICMP, TCP 443, UDP 500, NTP o puerto de aplicación específico
Dirección esperadaLAN a WAN, WAN a DMZ, VPN a LAN o cliente a firewall
Decisión esperadaReenviado, Consumido, Generado, Violación, DNAT/SNAT o impacto de característica de seguridad

Después de abrir, primero se debe usar Configure y establecer el filtro de captura antes de activar la prueba. Si el destino, el objetivo de CDN o la vista de NAT aún no están claros, un primer filtro en la IP de origen suele ser mejor que un filtro demasiado estrecho con una dirección de destino incorrecta. Después de la prueba reproducida, la captura debe detenerse nuevamente para que la vista no se llene de tráfico de fondo.

Log Viewer, Packet Capture o tcpdump?

Log Viewer, Packet Capture en WebAdmin y tcpdump responden a diferentes preguntas. Quien elige la herramienta incorrecta primero, a menudo busca en el lugar equivocado.

HerramientaMuestra principalmente
Log ViewerQué regla de firewall, regla de NAT, política web, control de aplicaciones, IPS o inspección SSL/TLS decidió
Packet Capture en WebAdminSi los paquetes individuales llegan, se reenvían, se consumen, se generan o se descartan
tcpdump por SSHCapturas más largas, archivos PCAP, casos de soporte y filtros CLI muy específicos

Un buen ejemplo es un ping. En el Log Viewer a menudo solo se ve una entrada o una decisión resumida sobre la conexión. En Packet Capture, en cambio, se ven los paquetes ICMP individuales: Echo Request hacia el destino y Echo Reply de regreso. Windows envía por defecto cuatro ICMP Echo Requests con ping. En Packet Capture, por lo tanto, se esperan varios paquetes de ida y vuelta. Si solo se ven las solicitudes pero no llegan las respuestas, es un problema diferente a si no llega ninguna solicitud a la firewall.

Para la práctica, esto significa:

  • Log Viewer responde: ¿Qué regla o módulo decidió?
  • Packet Capture responde: ¿Realmente llegaron los paquetes y qué camino tomaron?
  • En problemas de enrutamiento, NAT, VLAN, gateway o retorno, Packet Capture a menudo es más revelador.
  • En decisiones de filtro web, control de aplicaciones, IPS o inspección SSL/TLS, también se necesita el Log Viewer.
  • Para capturas que se envían a Sophos Support o socios de análisis externos, tcpdump generalmente es mejor que una captura de pantalla de WebAdmin.

Preparar la captura

Delimitar claramente antes de comenzar

La captura de paquetes no debe iniciarse sin filtrar. En redes productivas, de lo contrario, se generan muchos datos y la salida se vuelve confusa.

⚠️ La captura de paquetes nunca debe ejecutarse como una captura continua amplia en firewalls productivas. Un filtro estrecho, una prueba corta y un momento claro reducen la cantidad de datos, el riesgo de privacidad y las interpretaciones erróneas.

Antes de comenzar, se debe anotar:

  • IP de origen
  • IP de destino o FQDN
  • Protocolo
  • Puerto de origen, si es relevante
  • Puerto de destino
  • Interfaz o zona
  • Hora de la prueba
  • Aplicación afectada
  • Regla de firewall o regla de NAT esperada, si se conoce
  • Resultado esperado: permitido, bloqueado, DNAT, SNAT, VPN, política web o IPS

Para una prueba web, la delimitación podría verse así:

CampoEjemplo
IP de origen172.16.10.25
Destino93.184.216.34
ProtocoloTCP
Puerto de destino443
Dirección esperadaLAN a WAN

En la práctica, siempre se debe reproducir solo un caso de prueba a la vez. Múltiples cambios paralelos en la regla de firewall, NAT, enrutamiento y configuración del cliente hacen que la salida de la captura sea difícil de evaluar. Si la prueba afecta a un problema de usuario, también se debe anotar el usuario registrado, el dispositivo afectado y la hora exacta.

Configurar el filtro de captura

A través de Configure se establece un filtro lo más estrecho posible.

Filtros típicos:

  • IP de origen del cliente
  • IP de destino del servidor
  • Puerto de destino
  • Protocolo TCP, UDP o ICMP
  • Interfaz

Si no se conoce el servidor de destino, primero se puede filtrar solo por la IP de origen. Si después se ven demasiados paquetes, se puede restringir más.

Sophos Firewall utiliza la sintaxis de Berkeley Packet Filter, abreviada BPF. El filtro de captura decide qué paquetes se escriben en el buffer de captura. Por lo tanto, debe establecerse correctamente antes de la prueba.

Ejemplos típicos de BPF:

ObjetivoEjemplo de BPF
Host específicohost 10.10.10.1
IP de origen específicasrc host 10.10.10.1
IP de destino específicadst host 10.10.10.1
Red específicanet 10.10.10.0
Puerto específicoport 443
Puerto de destino específicodst port 443
Host y puerto específicoshost 10.10.10.1 and port 443
ICMP/Pingproto ICMP
TCPproto TCP
UDPproto UDP

Para una prueba web muy específica, un filtro podría verse así:

host 172.16.10.25 and host 93.184.216.34 and port 443

Para una prueba de ping, a menudo basta con:

host 172.16.10.25 and proto ICMP

Si el filtro es demasiado estrecho

Un filtro de captura estrecho es importante, pero no debe ocultar el error. Especialmente en DNS, NAT, CDNs y rutas de retorno, se debe decidir conscientemente si primero se filtra lo suficientemente amplio o inmediatamente de manera muy precisa.

Piedras de tropiezo típicas:

SituaciónMejor enfoque de filtro
El destino solo se conoce como FQDNPrimero verificar la resolución DNS o comenzar con la IP de origen y luego restringir a la IP de destino visible
El sitio web utiliza CDN o múltiples direcciones IPNo usar solo una dirección IP de destino antigua, sino observar el tráfico de prueba actual
Se verifica DNATDependiendo del punto de vista, considerar la IP de destino pública, el servidor interno y el puerto
SNAT o MASQ están involucradosSeparar mentalmente la IP de origen antes de NAT y la fuente traducida en la interfaz de salida
Faltan paquetes de respuestaElegir un filtro que mantenga visibles las direcciones de ida y vuelta
Problema de usuario o aplicaciónPrimero establecer IP de origen y hora de manera estrecha, luego restringir puerto, destino o ID de regla

Para la primera ejecución, un filtro en la IP de origen a menudo es más útil que un filtro demasiado preciso con una IP de destino incorrecta. Si el flujo relevante es visible, se puede filtrar más estrechamente en la segunda ejecución. En errores de NAT, también se debe verificar si se está viendo antes o después de la traducción.

En la vista de WebAdmin, se ve la cadena BPF activa sobre la lista de paquetes después de guardar. La primera captura de pantalla muestra la configuración del filtro, la segunda captura de pantalla la lista de resultados con el filtro activo.

Configurar filtro de captura de paquetes de Sophos Firewall con cadena BPF para host y puerto 443
Sophos Firewall - Configurar filtro de captura de paquetes con cadena BPF
Lista de resultados de captura de paquetes de Sophos Firewall con filtro BPF activo y paquetes TCP capturados
Sophos Firewall - Captura de paquetes con filtro BPF activo y paquetes capturados

⚠️ Los datos de PCAP pueden contener direcciones IP, nombres de host, detalles de protocolo y, dependiendo del protocolo, también datos de usuario. Las capturas solo deben compartirse con personas o socios que puedan ver estos datos.

Ejecutar la captura

Iniciar y reproducir la captura

  1. Establecer filtro.
  2. Activar la captura de paquetes con el control deslizante.
  3. Reproducir el problema de manera específica.
  4. Detener la captura nuevamente.
  5. Analizar los resultados.
  6. Vaciar la captura si se inicia una nueva prueba.

Sophos Firewall muestra el estado y el buffer:

VisualizaciónSignificado
Trace OnLa captura de paquetes está en ejecución
Trace OffLa captura de paquetes está desactivada
Buffer sizeTamaño del buffer de captura, en la documentación de Sophos 2048 KB
Buffer usedBuffer utilizado actualmente

Si el buffer está lleno, la captura se detiene automáticamente. Luego se debe vaciar con Clear antes de grabar nuevamente de manera efectiva. Por eso es importante un filtro estrecho.

En la configuración del filtro, también se puede establecer cuántos bytes por paquete se capturan. Para muchos análisis iniciales, la información del encabezado es suficiente. Si se necesitan más datos de usuario, se deben capturar más bytes, pero se debe tener en cuenta la privacidad y el tamaño del buffer.

Interpretar la salida

Comprender columnas importantes

La captura de paquetes muestra muchos campos. Para la práctica, estos son especialmente importantes:

CampoSignificado
TimeMomento del paquete
In interfaceInterfaz por la que entró el paquete
Out interfaceInterfaz por la que sale el paquete
Source IPDirección de origen
Destination IPDirección de destino
Packet typeProtocolo o tipo de paquete
Ports [src, dst]Puerto de origen y destino
NAT IDRegla de NAT correspondiente
Rule IDRegla de firewall correspondiente
StatusEstado del paquete
ReasonRazón del descarte o violación
Connection statusEstado de la conexión
Gateway IDGateway utilizado
UsernameUsuario reconocido
IPS policy IDPolítica de IPS aplicada
Application filter IDPolítica de control de aplicaciones aplicada

Estos campos son valiosos porque cierran la brecha entre “la regla parece correcta” y “el tráfico realmente fluye así”.

A través de Show additional properties o la vista detallada, se pueden ver, dependiendo de la versión, más información como Connection ID, Web filter ID, Application ID, Web category ID, Gateway ID, Username u otras IDs de políticas. Estos detalles ayudan cuando un paquete no solo es procesado por una regla de firewall, sino también por Web, Application Control, IPS u otros módulos.

Interpretar correctamente el estado

EstadoSignificado
IncomingEl paquete fue recibido en una interfaz
ForwardedEl paquete fue reenviado
ConsumedEl paquete está destinado a la firewall misma
GeneratedEl paquete fue generado por la firewall
ViolationEl paquete fue descartado debido a una violación de política

Si solo se ve Incoming y no Forwarded, el paquete probablemente se queda en la firewall. Entonces se deben verificar la regla de firewall, NAT, enrutamiento y características de seguridad.

Si Forwarded es visible pero no llega respuesta, el problema a menudo está en el sistema de destino, la ruta de retorno, NAT o un punto final.

En un ping exitoso, típicamente se ven paquetes en ambas direcciones. Si Windows envía cuatro pings, se ven varios ICMP Echo Requests del cliente al destino y varios Echo Replies de regreso. Si faltan las respuestas, se debe verificar la ruta de retorno, el sistema de destino, la firewall local del sistema de destino, NAT o un punto final. Si ya faltan las solicitudes, se debe verificar el cliente, el gateway, VLAN, el puerto del switch o si el tráfico llega a Sophos Firewall.

Leer correctamente Consumed y Generated

Consumed y Generated se interpretan fácilmente de manera incorrecta. Estos estados no significan automáticamente que falta una regla de firewall normal.

EstadoCaso típicoQué verificar después
ConsumedEl paquete está destinado a la propia Sophos FirewallAcceso al dispositivo, ACL de servicio local, configuración del servicio, permisos de administrador o usuario
GeneratedEl paquete fue generado por la propia Sophos FirewallServicio del sistema, DNS, NTP, VPN, actualización, monitoreo de gateway o respuesta de la firewall

Ejemplos de Consumed son accesos a WebAdmin, User Portal, VPN Portal, SSH, DNS, SNMP, IPsec o SSL VPN de la propia firewall. Este tráfico no se trata como tráfico de paso normal a través de una regla LAN-to-WAN o WAN-to-DMZ. Si un paquete en la captura muestra Consumed, primero se debe aclarar si el cliente realmente quería alcanzar la propia firewall.

Para estos casos, Administration > Device access y Local Service ACL son más importantes que una regla de firewall normal. El endurecimiento de estos accesos se describe en Asegurar el acceso a Sophos Firewall: Configurar correctamente el acceso al dispositivo.

Usar el filtro de visualización

El filtro de captura limita qué paquetes se registran. El filtro de visualización filtra la vista ya registrada. Esto es útil si se ha iniciado intencionalmente una captura un poco más amplia y luego se desea mostrar solo ciertos paquetes.

En el filtro de visualización se puede filtrar, entre otros, por estos campos:

  • Nombre de la interfaz
  • Tipo de Ethernet, por ejemplo, IPv4, IPv6 o ARP
  • Tipo de paquete
  • IP de origen y puerto de origen
  • IP de destino y puerto de destino
  • Razón
  • Estado
  • Rule ID
  • Usuario
  • Connection ID

Para la solución de problemas, Status, Reason, Rule ID, Source IP, Destination IP y Destination port son especialmente útiles. Si hay muchos paquetes en la captura, se puede reducir rápidamente a la parte relevante sin tener que reiniciar la prueba de inmediato.

Leer NAT en la captura de paquetes

En NAT, se debe tener en cuenta que un paquete se ve diferente antes y después de NAT. La captura de paquetes puede hacer visibles la NAT ID, Rule ID y las direcciones modificadas.

En problemas de NAT, se debe verificar:

  • ¿Se ve el paquete con la dirección original?
  • ¿Se ve el paquete después de la traducción?
  • ¿Se muestra la NAT ID esperada?
  • ¿El paquete sale por la interfaz de salida esperada?
  • ¿Llega una respuesta?

Para DNAT, además: La regla de firewall utiliza la zona de destino después de NAT, pero la IP de destino antes de NAT. Esto puede parecer inusual al principio.

Más información: Entender NAT en Sophos Firewall: SNAT, DNAT, MASQ, PAT.

Combinar Packet Capture y Log Viewer

El mejor procedimiento es:

  1. Abrir Log Viewer.
  2. Iniciar Packet Capture con un filtro estrecho.
  3. Reproducir la prueba.
  4. En Packet Capture, verificar si los paquetes llegan y se reenvían.
  5. En Log Viewer, verificar qué regla o módulo decidió.
  6. Cambiar a la log correspondiente si es necesario.

El Log Viewer muestra, por ejemplo, eventos de firewall, web, inspección SSL/TLS, IPS o control de aplicaciones. Packet Capture, en cambio, muestra el flujo de paquetes a nivel de interfaz.

Especialmente en ping o conexiones TCP simples, la combinación es importante. El Log Viewer solo puede mostrar que una conexión fue permitida o bloqueada. Packet Capture muestra además si los paquetes de respuesta regresan, si NAT aplica, si se utiliza la interfaz de salida correcta y si la ruta de retorno es correcta.

Casos de análisis típicos

El cliente no alcanza Internet: Configurar la captura en la IP de origen y TCP 443. Si no llega ningún paquete, verificar cliente, VLAN, gateway o switch. Si el paquete entra pero no sale, verificar regla de firewall, NAT o enrutamiento.

DNAT no funciona: Configurar la captura en la IP de destino pública y el puerto externo. Si no llega ningún paquete, verificar router del proveedor, reenvío de puertos, grupo de seguridad en la nube o WAN. Si el paquete llega pero no va al servidor interno, verificar regla de DNAT y regla de firewall.

El tráfico VPN no funciona: Configurar la captura en la interfaz de túnel, interfaz XFRM o redes de origen/destino relevantes. Además, verificar strongswan.log, charon.log o xfrmi.log.

El filtro web bloquea inesperadamente: En Packet Capture, generalmente solo se ve el flujo de paquetes. La decisión en sí es mejor verificarla en Log Viewer bajo web, control de aplicaciones o inspección SSL/TLS.

Las pruebas pequeñas funcionan, las transferencias grandes se cuelgan: Configurar la captura en el cliente afectado y el destino, y prestar atención a retransmisiones, respuestas faltantes o tamaños de paquete inusuales. Si ping, inicio de sesión o pequeñas solicitudes HTTP funcionan, pero descargas grandes, RDP, VoIP o aplicaciones VPN se cuelgan, también se debe verificar MTU, MSS, PPPoE, sobrecarga de VPN y fragmentación. El procedimiento está en Verificar MTU y MSS en Sophos Firewall para problemas de VPN.

Interpretaciones erróneas típicas

Packet Capture muestra mucho, pero no siempre lo que se espera primero. Algunas interpretaciones erróneas son especialmente comunes en casos de soporte.

ObservaciónNo concluir inmediatamenteMejor verificar
El paquete está en IncomingLa firewall es culpable¿Hay después Forwarded, Consumed, Violation o una decisión de regla adecuada?
El paquete es ForwardedLa conexión debe funcionarVerificar paquete de respuesta, ruta de retorno, sistema de destino y firewall local del sistema de destino
NAT ID está vacíoNAT es incorrectoNo todo el tráfico necesita NAT; primero verificar el diseño de NAT esperado
Rule ID es inesperadaLa regla deseada está defectuosaVerificar orden de reglas, zonas, objetos, coincidencia de usuario y grupo de reglas
No se ven paquetesLa firewall bloqueaVerificar filtro, interfaz, gateway del cliente, VLAN, puerto del switch y dispositivos anteriores
Solo se ven solicitudesLa regla de salida no es suficienteVerificar ruta de retorno, NAT, punto final, firewall de destino y enrutamiento asimétrico

Si la captura de paquetes muestra una Rule ID inesperada, no se deben cambiar varias reglas de inmediato. Es mejor primero comparar con el Log Viewer y la posición de la regla. Para un emparejamiento sistemático, es adecuado Verificar causas de reglas de Sophos Firewall que no coinciden.

Límites, protección de datos y uso compartido

Privacidad y compartir capturas

Los datos de captura de paquetes son datos operativos. Aunque a menudo solo se ven encabezados, pueden revelar direcciones IP internas, objetivos públicos, nombres de usuario, nombres de host, puertos, protocolos y relaciones de comunicación. En protocolos no cifrados, también pueden ser visibles datos de usuario.

Antes de compartir, se debe verificar:

  • ¿La captura contiene nombres de clientes, nombres de host internos o direcciones IP públicas?
  • ¿Son reconocibles usuarios, sistemas o aplicaciones?
  • ¿Está autorizado el destinatario para ver esta información?
  • ¿Es suficiente una captura de pantalla de las líneas relevantes o realmente se necesita un archivo PCAP?
  • ¿Debe acortarse o anonimizarse la captura antes?

Para casos de soporte, a menudo es mejor una captura tcpdump específica con un filtro limpio que una captura amplia de WebAdmin. Si también se necesitan archivos de registro, ayuda Guardar registros de Sophos Firewall para soporte y análisis.

Cuándo es mejor tcpdump

La captura de paquetes de WebAdmin es ideal para análisis rápidos directamente en el navegador. Se ve rápidamente si los paquetes llegan, se reenvían, se consumen, se generan o se descartan. Para una primera delimitación, generalmente es el inicio correcto.

tcpdump es mejor cuando la captura no solo se necesita como vista de pantalla, sino como archivo evaluable o como rastro técnico más largo.

SituaciónMejor herramientaPor qué
Prueba corta con Rule ID, NAT ID y estado visiblesCaptura de paquetes de WebAdmindirectamente en WebAdmin, bien combinable con Log Viewer
Archivo PCAP para Wireshark, Sophos Support o análisis externotcpdumpescribe un archivo que se puede examinar más tarde de manera limpia
Error esporádico que no se puede reproducir en pocos segundostcpdumppuede ejecutarse más tiempo de manera específica, pero debe limitarse
Filtros muy precisos en hosts, puertos, protocolos o comparación de interfacestcpdumplos filtros CLI-BPF son más flexibles y reproducibles
Decisión de política o NAT poco claraCaptura de paquetes de WebAdmin más Log Viewertcpdump no muestra Rule ID o NAT ID específicas de Sophos

La diferencia más importante: tcpdump muestra paquetes, pero no decisiones específicas de Sophos. Si se necesita saber qué regla de firewall, regla de NAT, política web, política de IPS o regla de inspección SSL/TLS estuvo involucrada, se necesita seguir usando Log Viewer, Captura de paquetes de WebAdmin o el archivo de registro correspondiente.

Antes de tcpdump, se deben habilitar conscientemente SSH o Advanced Shell. La captura debe filtrarse estrechamente, limitarse en el tiempo y eliminarse después del análisis. Una PCAP amplia en una firewall productiva puede contener rápidamente datos sensibles y mucho tráfico innecesario.

Más información: Sophos Firewall tcpdump: capturar paquetes mediante CLI.

Lista de verificación

  • Anotar el caso de prueba con origen, destino, puerto, protocolo y hora.
  • Conocer la regla de firewall y la regla de NAT esperadas, si es posible.
  • Establecer el filtro de captura estrechamente.
  • En DNS, NAT o objetivos de CDN, verificar si el filtro realmente captura las direcciones de ida y vuelta.
  • Reproducir solo un caso de prueba a la vez.
  • Detener la captura de paquetes después de la prueba.
  • Diferenciar conscientemente Incoming, Forwarded, Consumed, Generated y Violation.
  • Comparar Rule ID y NAT ID con Log Viewer.
  • En caso de respuesta faltante, verificar ruta de retorno, NAT, sistema de destino y punto final.
  • En transferencias grandes que se cuelgan, verificar MTU/MSS, fragmentación y sobrecarga de VPN.
  • Verificar capturas en busca de datos sensibles antes de compartir.
  • Usar tcpdump para capturas más largas o archivos PCAP.

FAQ

¿Cuándo se debe usar la captura de paquetes en Sophos Firewall?

La captura de paquetes es útil cuando el flujo real de paquetes no está claro: ¿Llega el tráfico, se reenvía, se descarta o se queda en la firewall? Para decisiones de políticas puras, a menudo es suficiente primero el Log Viewer.

¿Cuál es la diferencia entre el filtro de captura y el filtro de visualización?

El filtro de captura decide qué paquetes se registran. El filtro de visualización solo filtra la vista ya capturada. Para pruebas productivas, el filtro de captura debe establecerse lo más estrechamente posible.

¿Por qué solo se ve Incoming en la captura de paquetes, pero no Forwarded?

Entonces, el paquete fue recibido pero no reenviado. Las causas típicas son regla de firewall, NAT, enrutamiento, característica de seguridad, zona incorrecta o un paquete destinado a la propia firewall.

¿Qué significa Consumed en la captura de paquetes?

Consumed significa que el paquete está destinado a la propia Sophos Firewall. Entonces se debe verificar el acceso al dispositivo, ACL de servicio local y el servicio de firewall afectado, no solo las reglas de firewall normales.

¿Cuándo es mejor tcpdump que la captura de paquetes en WebAdmin?

tcpdump es mejor para capturas más largas, archivos PCAP, casos de soporte, filtros CLI muy precisos y análisis que se evaluarán más tarde en Wireshark o con Sophos Support.

¿Se puede ejecutar la captura de paquetes sin filtrar?

Técnicamente es posible, pero en entornos productivos generalmente no es una buena idea. Sin un filtro estrecho, se generan muchos datos, el buffer se llena rápidamente y se capturan datos de comunicación sensibles innecesariamente.

¿Por qué la captura de paquetes no ve paquetes a pesar de una prueba correcta?

A menudo, el filtro es demasiado estrecho o no se ajusta a la vista actual de la firewall. En FQDNs, objetivos de CDN, NAT, DNAT o rutas de retorno asimétricas, primero se debe verificar con IP de origen y hora y luego filtrar más estrechamente paso a paso.