Shopping Cart

No hay productos en el carrito.

Sophos Firewall Solución de problemas – Consejos y trucos para la CLI

Como administrador informático responsable de la gestión de Sophos Firewall, es esencial un conocimiento profundo de la interfaz de línea de comandos (CLI). La CLI proporciona potentes herramientas y comandos que no sólo te permiten navegar eficazmente por los directorios del sistema, sino también realizar análisis detallados y solucionar problemas. En este artículo, te mostraremos cómo sacar el máximo partido a la CLI de Sophos Firewall para examinar registros, supervisar conexiones de red, transferir archivos de forma segura e iniciar servicios en modo depuración. Esta guía te ayudará a comprender los comandos más importantes y a utilizarlos en tu trabajo diario.


En la Shell de Sophos, puedes buscar en la estructura de directorios utilizando sencillos comandos de Linux. Por ejemplo, para mostrar los archivos de registro existentes en el directorio /log, puedes utilizar el siguiente comando:

cd /log
ls -la
  • cd /log: Cambia al directorio /log, donde se encuentran los archivos de registro de Sophos Firewall.
  • ls -la: Lista detalladamente todos los archivos del directorio actual, incluidos los ocultos. -l muestra información detallada, como el tamaño del archivo y la fecha y hora, mientras que -a lista todos los archivos, incluidos los ocultos.
Sophos Firewall - Shell avanzado -ls -la en el directorio de registro
Sophos Firewall – Advanced Shell -ls -la im Log Verzeichnis

Para mostrar los archivos ordenados por tamaño, puedes ampliar el comando ls de la siguiente manera:

ls -lSrh
  • -lSrh: Estas opciones enumeran los archivos de forma detallada, ordenados por tamaño (-S) y de forma legible (-h para «human-readable»).

Visualizar y buscar registros

Buscar y analizar archivos de registro es una de las tareas más habituales para solucionar problemas. Los comandos cat, tail y grep son extremadamente útiles para ello.

tail – monitoriza el registro en tiempo real

Para rastrear el contenido de un archivo de registro en tiempo real, puedes utilizar el comando tail:

tail -f smtpd_main.log
  • tail -f: Muestra las últimas líneas del archivo smtpd_main.log y lo actualiza en tiempo real cuando se añaden nuevas entradas.

grep – Filtrar registros

Para buscar un término concreto, por ejemplo un dominio o una dirección de correo electrónico, en un archivo de registro, puedes utilizar grep:

cat smtpd_main.log | grep "avanet.com"

O quieres controlar el registro IPsec en tiempo real y mostrar las entradas de una dirección IP

tail -f strongswan.log | grep 46.33.21.12
  • grep: Busca en el archivo smtpd_main.log líneas que contengan el término «avanet.com».

Otras opciones útiles para grep:

  • -i: Ignora las mayúsculas y minúsculas al buscar.
  • -n: Muestra los números de línea de los aciertos.
  • -m 1: Finaliza la búsqueda tras el primer acierto.

Conntrack y Volcado TCP

Sophos Firewall ofrece potentes herramientas para analizar las conexiones y el tráfico de la red.

Conntrack

Con conntrack puedes controlar las conexiones activas:

conntrack -L | grep "10.128.138.150"
  • conntrack -L: Enumera todas las conexiones activas en el cortafuegos.
  • grep «Dirección IP»: Filtra las conexiones asociadas a la dirección IP especificada.

tcpdump

Para analizar directamente el tráfico de red, puedes utilizar tcpdump:

tcpdump -i any port 80
  • tcpdump -i any: Monitoriza todo el tráfico de red en todas las interfaces.
  • puerto 80: Filtra el tráfico que se ejecuta a través del puerto 80 (HTTP).

El tema de tcpdump se trata en un artículo aparte, ya que es muy extenso: Sophos Firewall – recopilación de registros con TCPDump para su análisis

Descargar y subir archivos

Para descargar archivos del cortafuegos, puedes utilizar herramientas como WinSCP o, en macOS, Cyberduck. En primer lugar, debes asegurarte de que el acceso SSH al cortafuegos está permitido. Entonces, por supuesto, no podrás conectarte a la herramienta y transferir archivos fácilmente.

Puedes utilizar ftpput para subir archivos a un servidor FTP:

ftpput -u username -p password ftp.server.com /path/to/upload/file.log
ftpput -u sophostransfer@avanet.com -p UrXPMmGYXtAsaX6?LnAJx3fgrK www.avanet.com strongswan.log
  • ftpput: Transfiere un archivo a un servidor FTP.
  • -u nombre de usuario -p contraseña: Se autentica con los datos de acceso FTP especificados.
  • ftp.servidor.com: Dirección del servidor FTP.
  • /ruta/a/cargar/archivo.log: Ruta al archivo local que se va a subir.

También puedes utilizar el comando curl para subir archivos a un FTP:

curl --ftp-ssl ftp://www.avanet.com -u sophostransfer@avanet.com:Ur$tAs3fg46rK -v -T {/tmp/ips.log,/tmp/applog.log,/tmp/csc.log,/tmp/u2d.log}

Lista de todos los servicios del cortafuegos y sus registros

Sophos tiene una excelente lista de todos los servicios y sus correspondientes registros: Sophos KB: Detalles de los archivos de registro.

Lista de servicios del cortafuegos

Este comando del Shell Avanzado enumera todos los servicios activos y su estado:

service -S

O sólo necesitas el estado de un único servicio. El estado de un servicio también se puede comprobar con service -S en combinación con grep:

service -S | grep strongswan

Sin embargo, este comando hace lo mismo en la Consola del Cortafuegos:

system diagnostics show subsystem-info 

Registro de depuración

El modo depuración es esencial cuando los registros normales no proporcionan suficiente información para comprender un problema. Comparado con el modo de registro normal, que sólo registra los eventos básicos y los mensajes de error, el modo de depuración proporciona un registro más profundo y detallado. Captura datos más completos y procesos internos que no son visibles durante el funcionamiento normal. Esto permite identificar con precisión errores complejos o poco frecuentes, lo que resulta especialmente útil para diagnosticar problemas que podrían pasarse por alto en el modo de registro normal.


Para iniciar un servicio concreto en modo depuración, puedes utilizar el siguiente comando:

service ips:debug -ds nosync

Para volver a finalizar el modo de depuración de modo que el registro no pueda llenar el disco duro, debes desactivarlo de nuevo al cabo de un tiempo:

service ips:debug -ds nosync
Sophos Firewall - Shell Avanzado - Modo Depuración
Sophos Firewall – Advanced Shell – Debug Mode

Hemos descrito el tema de los servicios y el reinicio con más detalle en este artículo: Reiniciar los servicios de Sophos Firewall

Últimas palabras

Navegar y trabajar en el shell de Sophos puede parecer complejo al principio, pero con los comandos adecuados podrás identificar y solucionar problemas de forma rápida y eficaz. Esta guía está diseñada para ayudarte a comprender y utilizar los comandos más importantes de forma eficaz. Un conocimiento sólido de la CLI puede mejorar significativamente tu capacidad para resolver problemas, aunque, por supuesto, también tienes a tu disposición nuestro servicio de asistencia.