Solución de problemas de Sophos Firewall CLI: comandos importantes
En la solución de problemas de Sophos Firewall, el Log Viewer suele ser suficiente para una primera delimitación. Tan pronto como un servicio no se inicia correctamente, las conexiones VPN son inestables, algunos paquetes no llegan o el soporte necesita datos detallados, la CLI se vuelve importante.
Este resumen muestra los comandos más importantes para el día a día: dónde ejecutarlos, qué muestran y cuándo es mejor cambiar a un artículo especializado. Para el acceso seguro por SSH, primero se debe verificar Conectar Sophos Firewall por SSH. En este caso, la clave pública, la verificación de la clave del host y un acceso restringido al dispositivo son más importantes que un inicio de sesión rápido desde cualquier lugar.
⚠️ Importante: Los comandos de CLI y Advanced Shell solo deben ejecutarse desde redes de administración confiables y con un objetivo claro. Especialmente Debug,
tcpdump, operaciones de archivos y comandos de servicio pueden afectar el espacio de almacenamiento, el rendimiento o las conexiones en curso.
Primero WebAdmin, luego CLI
La CLI no siempre es la entrada más rápida. Cuando se trata de coincidencia de reglas, NAT o conexiones individuales, el Log Viewer, Policy Test y Packet Capture en WebAdmin a menudo proporcionan un diagnóstico más rápido.
| Pregunta | Primera entrada | CLI solo si… |
|---|---|---|
| ¿Qué regla de firewall se aplica? | Log Viewer, Policy Test y Packet Capture | Log Viewer muestra pocos detalles o se necesitan registros en vivo |
| ¿Llegan paquetes al firewall? | Packet Capture en WebAdmin | se necesita una captura CLI estrecha o un PCAP para soporte |
| ¿Tiene un servicio un problema? | Dashboard, Log Viewer, Service-Logs | se debe verificar el estado del servicio, depuración o archivos de registro directamente |
| ¿Se cambió algo? | Audit Trail Logs | se compara una diferencia de configuración con registros o copias de seguridad |
El objetivo no es saltar lo más rápido posible a la Advanced Shell. Es mejor un procedimiento comprensible: primero verificar eventos visibles, luego abrir específicamente el archivo de registro o la captura adecuada.
Antes del primer comando
La solución de problemas de CLI es mucho más confiable cuando el marco está establecido antes del primer comando. De lo contrario, rápidamente se generan extractos de registros sin referencia temporal, capturas demasiado amplias o registros de depuración que nadie puede asignar correctamente más tarde.
Antes de las pruebas productivas de CLI, se debe registrar:
| Punto | Por qué es importante |
|---|---|
| Hora del problema | Los registros se pueden buscar específicamente después de la ventana de prueba |
| IP de origen, IP de destino y puerto | grep, tcpdump y Packet Capture permanecen estrechos y legibles |
| Usuario o par afectado | La autenticación, VPN y coincidencia de usuarios se pueden asignar mejor |
| Módulo esperado | Primero se busca en el archivo de registro adecuado en lugar de en todos los registros |
| Acción planificada | Debug, verificación de servicio o captura no se convierten accidentalmente en un estado permanente |
| Criterio de reversión o cancelación | En caso de carga, memoria llena o efectos secundarios, se termina la prueba |
| Copia de seguridad actual en caso de cambios | Los reinicios de servicios o cambios de configuración se pueden asegurar de manera más limpia |
El primer paso debe ser lo más legible posible: verificar el Log Viewer, ver el archivo de registro adecuado, leer service -S o iniciar una captura estrecha. Los reinicios, el modo de depuración y las capturas amplias deben entrar en una ventana de prueba consciente solo después.
En clústeres HA, también debe estar claro qué dispositivo está activo actualmente. Los registros, depuración y capturas deben verificarse en el nodo a través del cual realmente pasa el tráfico relevante.
Device Console o Advanced Shell?
Sophos Firewall tiene dos áreas de consola diferentes. Muchos errores ocurren porque un comando se ingresa en el área incorrecta.
| Área | Uso típico | Ejemplos |
|---|---|---|
| Device Console | CLI de Sophos para comandos de red, sistema y diagnóstico | ping, dnslookup, traceroute, tcpdump, drop-packet-capture, show |
| Advanced Shell | Shell similar a Linux para archivos, registros, procesos y verificaciones de servicios | cd /log, tail -f, grep, less, df -kh, service -S, conntrack |
Después de iniciar sesión por SSH, el firewall primero muestra el menú de la consola. Para la Device Console, normalmente se elige 4. Device Console. Para la Advanced Shell, se utiliza 5. Device Management > Advanced Shell.
La ayuda oficial de CLI de Sophos admite Tab y ? para la verificación de sintaxis. Esto es útil en la Device Console, ya que no todos los comandos tienen la misma estructura.
Si un comando no es reconocido, primero verifique el área de la consola. Un área incorrecta es más probable que un comando defectuoso inmediato.
Verificar registros en la Advanced Shell
Los archivos de registro más importantes se encuentran bajo /log. Para una primera orientación, se cambia a este directorio y se enumeran los archivos.
cd /log
ls -lah
Comandos básicos útiles:
| Tarea | Comando | Nota |
|---|---|---|
| Seguir registro en vivo | tail -f /log/strongswan.log | bueno para errores de VPN reproducibles |
| Leer archivo de registro | less /log/ips.log | buscar dentro de less con /término de búsqueda |
| Buscar errores | grep -i "error" /log/ips.log | -i ignora mayúsculas y minúsculas |
| Coincidencias con número de línea | grep -n "192.0.2.10" /log/firewall_rule.log | útil para archivos más largos |
| Mostrar últimas líneas | tail -n 100 /log/syslog.log | visión rápida sin modo en vivo |
Qué archivo de registro pertenece a qué módulo está resumido en Solución de problemas de Sophos Firewall: Servicios y registros.
En registros en vivo, se debe mantener el período de prueba corto y anotar la hora. Esto es especialmente importante si más tarde se proporciona un archivo de registro a Sophos Support o Avanet.
Device Console para verificaciones rápidas de red
La Device Console es adecuada para pruebas rápidas desde la perspectiva del firewall. Permite verificar si DNS, enrutamiento o accesibilidad funcionan en general.
| Objetivo | Ejemplo | Propósito |
|---|---|---|
| Alcanzar host | ping 192.0.2.10 count 4 | verifica la accesibilidad ICMP |
| Verificar DNS | dnslookup example.com | verifica la resolución de nombres desde la perspectiva del firewall |
| Verificar ruta | traceroute 192.0.2.10 | muestra el camino al destino |
| Ver estado de interfaces | show interfaces | muestra información de interfaces |
| Iniciar captura de paquetes descartados | drop-packet-capture 'host 192.0.2.10' | muestra paquetes descartados por reglas de firewall |
| Iniciar captura de paquetes | tcpdump 'host 192.0.2.10 and port 443' | verifica si los paquetes son visibles en el firewall |
drop-packet-capture es especialmente útil cuando no está claro si el firewall está descartando activamente paquetes. Sin embargo, no reemplaza un análisis de aplicaciones. Si un servidor responde pero la aplicación aún no funciona, se necesita además Log Viewer, verificación de NAT, Packet Capture o registros de aplicaciones.
Para capturas de paquetes más largas y archivos PCAP, el artículo Sophos Firewall: Recopilar registros con TCPDump para análisis es más adecuado. Allí también se debe planificar cuán grande puede ser el archivo, dónde se almacenará y cómo se transferirá de manera segura.
Verificar conexiones y flujo de paquetes en la Advanced Shell
Si el Log Viewer y la Device Console aún no proporcionan una respuesta clara, algunos comandos de Advanced Shell ayudan a clasificar el flujo de paquetes.
Conntrack
conntrack muestra conexiones activas que el camino de firewall con estado conoce. Esto es útil si se desea verificar si una conexión aparece en el seguimiento de conexiones.
conntrack -L | grep "192.0.2.10"
Si falta una entrada, puede indicar problemas de enrutamiento, NAT, fuente incorrecta, regla de firewall faltante o una prueba en el camino incorrecto. Si hay una entrada pero la aplicación no funciona, se debe verificar además si los paquetes de respuesta regresan y si NAT, la política o la aplicación funcionan correctamente.
tcpdump en la Advanced Shell
Para verificaciones rápidas en vivo, tcpdump también se puede utilizar en la Advanced Shell.
tcpdump -i any -nn host 192.0.2.10
Para análisis productivos, el filtro debe ser lo más estrecho posible. Capturas amplias como tcpdump -i any sin host, puerto o conteo generan rápidamente mucha salida y son poco prácticas en firewalls ocupados.
Un inicio seguro es una captura corta con host, puerto y límite de paquetes:
tcpdump -i any -nn -c 50 host 192.0.2.10 and port 443
Si se necesitan más datos, primero se debe verificar el espacio de almacenamiento y elegir conscientemente un lugar de almacenamiento para el PCAP.
Verificar espacio de almacenamiento y estado del sistema
Antes de registros de depuración, archivos de registro grandes o capturas de paquetes largas, se debe verificar el espacio de almacenamiento libre.
df -kh
df -h /var
Otras verificaciones rápidas:
uptime
top
service -S
service -S | grep strongswan
service -S muestra el estado de muchos servicios. Los nombres de servicios individuales no siempre son autoexplicativos. Por lo tanto, se debe comparar el servicio con el archivo de registro adecuado antes de activar reinicios o depuración.
Si el espacio de almacenamiento ya es escaso, no se debe iniciar registro de depuración ni capturas de paquetes largas. Primero aclarar qué registros o informes se pueden asegurar y limpiar de manera segura.
Activar registro de depuración de manera específica
El registro de depuración puede ayudar en errores complejos, pero solo debe estar activo por un corto tiempo y solo para el servicio afectado. La depuración genera muchos más datos de registro y puede consumir espacio de almacenamiento si se ejecuta durante mucho tiempo.
Ejemplo para depuración de IPS:
service ips:debug -ds nosync
Reproducir el problema, anotar la hora relevante y luego desactivar la depuración:
service ips:debug -ds nosync off
Para reinicios de servicios y clasificación de servicios, también es adecuado Reiniciar servicios de Sophos Firewall. En casos de soporte, se debe documentar el período exacto del registro de depuración.
Antes de un reinicio de servicio, se debe verificar qué función está afectada y si hay tráfico productivo en curso. Un reinicio de servicios de VPN, IPS, web o autenticación puede afectar sesiones activas o inicios de sesión de usuarios.
Proporcionar registros de manera segura
Extractos individuales de registros a menudo no son suficientes en casos complejos. Para Sophos Support, Avanet o un análisis externo, un archivo de registro completo suele ser más útil.
En lugar de escribir credenciales de FTP en comandos, se deben transferir los registros de manera segura y rastreable, por ejemplo, mediante scp a un servidor propio o a través de un portal de soporte. La guía adecuada está en Asegurar registros de Sophos Firewall para soporte y análisis.
Los archivos de registro pueden contener información sensible: direcciones IP internas, IP públicas, nombres de host, nombres de usuario, parámetros de VPN y mensajes de error. Antes de compartir, debe estar claro quién recibirá los datos y cuánto tiempo se almacenarán.
Errores típicos en la solución de problemas de CLI
| Error | Por qué es problemático | Mejor |
|---|---|---|
| Comando en el área de consola incorrecta | Device Console y Advanced Shell admiten sintaxis diferente | Verificar primero el área |
| Dejar depuración activa después del análisis | Los registros crecen innecesariamente y pueden consumir espacio de almacenamiento | Desactivar depuración inmediatamente |
| tcpdump amplio sin filtro | Mucha salida, alta carga y datos difíciles de evaluar | Restringir por host, puerto, interfaz o conteo |
| Credenciales de FTP en el historial de la shell | Las credenciales pueden aparecer en registros, capturas de pantalla o historial | Usar transferencia segura y credenciales temporales |
| Verificar solo un archivo de registro | Muchos problemas afectan a varios módulos | Combinar Log Viewer, registros de servicios adecuados y Packet Capture |
| No documentar el momento | El soporte debe buscar en áreas de registro innecesariamente grandes | Anotar hora, acción de prueba e IPs involucradas |
| No limpiar después de la prueba | Depuración, archivos temporales o accesos amplios permanecen activos | Desactivar depuración, verificar archivos, eliminar excepciones temporales de SSH |
Lista de verificación
- Acceso SSH permitido solo desde redes de administración confiables.
- Huella digital de SSH y acceso
adminverificados antes del análisis. - Área de consola correcta elegida: Device Console o Advanced Shell.
- Documentado el momento del problema, IP de origen, IP de destino, puerto y usuario.
- Usado comandos de solo lectura antes de iniciar depuración, reinicios de servicios o capturas más largas.
- Log Viewer verificado primero.
- Archivo de registro adecuado identificado bajo
/log. - Usado
tail,grepolesscon término de búsqueda estrecho. - En problemas de red, usado
ping,dnslookup,traceroute,drop-packet-captureotcpdumpde manera específica. - Depuración activada solo brevemente y luego desactivada.
- Espacio de almacenamiento verificado antes de depuración o PCAP.
- Archivo de registro transferido de manera segura y archivos temporales eliminados.
- Excepciones temporales de Device Access o SSH eliminadas después del caso de soporte.
FAQ
¿Cuáles son los comandos CLI de Sophos Firewall más importantes para empezar?
ping, dnslookup, traceroute, tcpdump, drop-packet-capture y show son las bases más importantes. En la Advanced Shell, tail, grep, less, df, service -S, conntrack y tcpdump son especialmente útiles.¿Cuándo es suficiente el Log Viewer y cuándo se necesita la CLI?
¿Se debe dejar el registro de depuración activado permanentemente?
¿Qué se debe anotar antes de la solución de problemas de CLI?
grep, tail, Packet Capture y análisis de soporte posteriores sean mucho más enfocados.