Regla Sophos Firewall no aplica: comprobar causas
Cuando una firewall rule no hace match, rara vez la firewall está “rota”. Normalmente no encaja una condición, hay una regla más general por encima, NAT cambia la forma en que se ve el tráfico, User Matching no se cumple o el logging no está correctamente activado.
Esta checklist ayuda a trabajar de forma sistemática en lugar de cambiar reglas al azar.
Primer principio: gana la primera regla que hace match
Sophos Firewall procesa las firewall rules de arriba abajo. En cuanto una regla hace match, las reglas posteriores ya no se evalúan. El mismo principio básico se aplica también a las NAT rules.
Importante:
- La posición en la lista decide la evaluación.
- La Rule ID es solo una referencia y no indica el orden actual.
- Los rule groups ayudan a organizar, pero no son una lógica de match propia.
- Una regla general situada por encima puede “comerse” por completo una regla más específica debajo.
Si una regla no hace match, primero se revisa su posición.
Restablecer el contador de la regla
Cuando los hits no están claros, ayuda restablecer el contador de la regla.
- Abrir Rules and policies > Firewall rules.
- Buscar la regla afectada.
- Abrir el menú de tres puntos.
- Seleccionar Reset data transfer count.
- Reproducir el tráfico.
- Comprobar si el contador sube.
Si el contador no sube, la regla no hace match. Si sube, pero la aplicación sigue sin funcionar, el problema suele estar en Security Profiles, NAT, routing, ruta de retorno o sistema de destino.
Comprobar campos de matching
Una firewall rule solo hace match cuando todos los criterios relevantes encajan.
| Campo | Errores típicos |
|---|---|
| Source zones | Zona incorrecta, VLAN en otra zona, tráfico VPN desde VPN |
| Source networks and devices | Objeto incorrecto, IP incorrecta, host group incompleto |
| Destination zones | Zona de destino incorrecta, sobre todo con DNAT o VPN |
| Destination networks | Vista pre-NAT y post-NAT confundidas |
| Services | Falta puerto, TCP/UDP confundidos, la aplicación usa puertos adicionales |
| Users or groups | Usuario no autenticado o grupo incorrecto |
| Schedule | El schedule no aplica en ese momento |
| Exclusions | El tráfico queda excluido de la regla y se procesa más abajo |
En tráfico web también conviene comprobar si QUIC está activo. Si el navegador envía tráfico por UDP 443, algunas expectativas de web filtering y scanning cambian frente al HTTPS clásico por TCP.
Más información: Sophos Firewall y el protocolo QUIC.
Leer DNAT correctamente
Con DNAT, la perspectiva en las firewall rules es especialmente importante. Como regla práctica:
Las firewall rules para tráfico DNAT usan la zona de destino después de NAT, pero la IP de destino antes de NAT.
Ejemplo:
- Un cliente externo conecta con la IP WAN de la firewall.
- NAT traduce hacia un servidor interno en la
DMZ. - La firewall rule usa como Destination zone la zona del servidor interno, por ejemplo
DMZ. - Destination network sigue siendo la IP pública o el objeto WAN al que llamó el cliente.
Si esta combinación es incorrecta, la NAT rule puede parecer correcta, pero la firewall rule aun así no hace match.
Más información: Publicar un servidor por DNAT en Sophos Firewall.
Comprobar NAT rules
NAT no permite tráfico. NAT solo traduce. Siempre se necesita además una firewall rule adecuada.
En Rules and policies > NAT rules se comprueba:
- ¿Está la NAT rule adecuada por encima de NAT rules más generales?
- ¿Está la regla activa?
- ¿Coinciden Original source, destination y service?
- ¿Coinciden Translated source, destination y service?
- ¿Se usa
MASQo una IP SNAT fija? - ¿Hay una Linked NAT Rule que hace match inesperadamente?
- ¿Hay una regla SNAT genérica que hace match antes de una regla más específica?
Para entornos sencillos, Sophos suele recomendar NAT rules independientes en lugar de crear una Linked NAT Rule por cada firewall rule.
Más información: Entender NAT en Sophos Firewall: SNAT, DNAT, MASQ, PAT.
Comprobar routing y SD-WAN
Si la regla hace match, pero la conexión no funciona, routing puede ser el problema.
Se comprueba:
- ¿Existe una default route adecuada?
- ¿Existe una ruta estática?
- ¿Aplica una SD-WAN route?
- ¿Está activo el gateway?
- ¿Hay rutas de retorno en el sistema de destino o en la red remota?
- ¿La ruta de retorno es simétrica?
- ¿El tráfico pasa por VPN, MPLS u otra interfaz distinta a la esperada?
Importante: Policy tester no representa completamente el SD-WAN routing. Es muy útil para decisiones de firewall, SSL/TLS y web policy, pero no sustituye una prueba real de flujo de paquetes.
Más información: Cambiar la prioridad de routing en Sophos Firewall.
Activar logging
Sin logs, el troubleshooting se vuelve difícil. Se revisan dos puntos:
- En la firewall rule debe estar activo Log firewall traffic.
- En System services > Log settings debe estar activo el tipo de log correcto localmente, para Sophos Central o para syslog.
El Log viewer muestra normalmente sesiones firewall cuando la firewall termina una conexión y recibe un evento Destroy. Si una conexión a internet simplemente se cae, puede que no todas las sesiones aparezcan como se espera.
El Log Viewer se abre arriba a la derecha en la consola WebAdmin. Filtros útiles:
- Source IP
- Destination IP
- Puerto o service
- Rule ID
- Rule name
- Action
- User
- NAT rule ID
Más información: Servicios y archivos de log de Sophos Firewall.
Usar Packet Capture
Si Log Viewer y los contadores de reglas no bastan, se usa Diagnostics > Packet capture.
La pregunta principal es:
| Observación | Significado |
|---|---|
| No llega ningún paquete | Problema antes de la firewall: cliente, switch, VLAN, gateway, provider, Cloud Security Group |
| El paquete entra, pero no sale | Revisar firewall rule, NAT, routing o security feature |
| El paquete sale, pero no vuelve respuesta | Revisar ruta de retorno, sistema destino, NAT o bloqueo externo |
El paquete aparece con Violation | Policy o security feature bloquea |
| El paquete muestra NAT ID y Rule ID | Comparar hits de regla y NAT de forma precisa |
Más información: Usar Packet Capture en WebAdmin.
Comprobar security features individualmente
Si la regla hace match, pero la aplicación no funciona, puede intervenir un perfil de protección:
- Web Policy
- SSL/TLS inspection rule
- Decryption Profile
- IPS Policy
- Application Control
- Malware Scan
- Zero-day protection
- Security Heartbeat
- Traffic Shaping
Para pruebas no conviene desactivar todo de forma permanente. Es mejor comprobar brevemente y con precisión, observar Log Viewer y luego corregir la causa. Para TLS Inspection ayuda el artículo Desplegar TLS Inspection en Sophos Firewall paso a paso.
Causas frecuentes
| Síntoma | Causa probable |
|---|---|
| El contador de regla queda en 0 | Posición de regla, Source zone, Destination zone o Service incorrectos |
| El log muestra otra regla | Una regla más general está por encima |
| No se ve ningún log | Logging no activo o el tráfico no llega a la firewall |
| DNS funciona, web no | Revisar Service, Web Policy, TLS Inspection o QUIC |
| HTTPS no se escanea | No hay SSL/TLS inspection rule adecuada o la CA no está distribuida |
| DNAT no funciona | La firewall rule usa Destination zone o Destination network incorrectos |
| Tráfico VPN no hace match | Revisar zona VPN, route, tunnelinterface o contexto XFRM |
| Solo algunos usuarios afectados | Revisar User Matching, grupo, SSO, Captive Portal o Heartbeat |
Proceso práctico
- Anotar el problema con Source IP, destino, puerto, usuario y hora.
- Comprobar posición de la regla.
- Restablecer contador de regla.
- Reproducir la prueba.
- Filtrar Log Viewer por Source IP y Destination IP.
- Comprobar NAT rule y routing.
- Iniciar Packet Capture con filtro estrecho.
- Revisar Security Profiles solo de forma específica.
- Documentar el cambio.
Para un flujo combinado, ver Probar firewall rules con Log Viewer, Policy Test y Packet Capture.