Aller au contenu
Avanet

Règle Sophos Firewall non appliquée : causes à vérifier

Sophos Firewall

Lorsqu’une firewall rule ne matche pas, la firewall est rarement « cassée ». Le plus souvent, une condition ne correspond pas, une règle plus générale se trouve au-dessus, le NAT modifie la vue du trafic, le User Matching n’est pas rempli ou le logging n’est pas activé correctement.

Cette checklist aide à procéder systématiquement au lieu de modifier les règles au hasard.

Premier principe : la première règle qui matche gagne

Sophos Firewall traite les firewall rules de haut en bas. Dès qu’une règle matche, les règles suivantes ne sont plus vérifiées. Le même principe s’applique aussi aux NAT rules.

Important :

  • La position dans la liste détermine l’évaluation.
  • La Rule ID est seulement une référence et ne dit rien sur l’ordre actuel.
  • Les rule groups aident à garder une vue d’ensemble, mais n’ajoutent pas de logique de matching.
  • Une règle générale placée au-dessus peut complètement « avaler » une règle plus spécifique placée dessous.

Si une règle ne matche pas, il faut donc vérifier sa position en premier.

Sophos Firewall firewall rules avec ordre des règles mis en évidence
La position dans la liste des firewall rules détermine l’évaluation. La première règle qui matche gagne, pas la Rule ID la plus basse.

Réinitialiser le compteur de règle

Lorsque les hits ne sont pas clairs, il est utile de réinitialiser le compteur de règle.

  1. Ouvrir Rules and policies > Firewall rules.
  2. Rechercher la règle concernée.
  3. Ouvrir le menu à trois points.
  4. Sélectionner Reset data transfer count.
  5. Reproduire le trafic.
  6. Vérifier si le compteur augmente.
Menu à trois points Sophos Firewall avec Reset data transfer count
Reset data transfer count remet le compteur de règle à zéro. On voit ensuite plus facilement si le nouveau trafic de test arrive vraiment sur cette règle.

Si le compteur n’augmente pas, la règle ne matche pas. S’il augmente, mais que l’application ne fonctionne toujours pas, le problème se situe plutôt du côté des Security Profiles, du NAT, du routing, du chemin retour ou du système cible.

Vérifier les champs de matching

Une firewall rule ne matche que si tous les critères pertinents correspondent.

ChampErreurs typiques
Source zonesMauvaise zone, VLAN dans une autre zone, trafic VPN venant de VPN
Source networks and devicesMauvais objet, mauvaise IP, host group incomplet
Destination zonesMauvaise zone de destination, surtout avec DNAT ou VPN
Destination networksVue avant NAT et après NAT confondue
ServicesPort manquant, TCP/UDP confondus, l’application utilise des ports supplémentaires
Users or groupsUtilisateur non authentifié ou mauvais groupe
ScheduleLe schedule ne s’applique pas actuellement
ExclusionsLe trafic est exclu de la règle et traité plus bas
Règle Sophos Firewall avec Source, Destination and services
Une firewall rule ne matche que lorsque Source zone, Source networks and devices, Destination zones, Destination networks, Services et Schedule correspondent simultanément.

Pour le trafic web, il faut aussi vérifier si QUIC est actif. Si le navigateur envoie du trafic via UDP 443, certaines attentes de Webfiltering et de scanning diffèrent du HTTPS classique sur TCP.

Plus d’informations : Sophos Firewall et le protocole QUIC.

Lire correctement le DNAT

Avec DNAT, la vue dans les firewall rules est particulièrement importante. Comme règle pratique :

Les firewall rules pour le trafic DNAT utilisent la zone de destination après NAT, mais l’IP de destination avant NAT.

Exemple :

  • Un client externe se connecte à l’IP WAN de la firewall.
  • Le NAT traduit vers un serveur interne dans la DMZ.
  • La firewall rule utilise comme Destination zone la zone du serveur interne, par exemple DMZ.
  • Le Destination network reste l’IP publique ou l’objet WAN que le client a contacté.

Si cette combinaison est erronée, la règle NAT peut sembler correcte, mais la firewall rule ne matche toujours pas.

Plus d’informations : Publier un serveur via DNAT sur Sophos Firewall.

Vérifier les NAT rules

Le NAT n’autorise pas le trafic. Le NAT ne fait que traduire. Il faut toujours une firewall rule correspondante en plus.

Sous Rules and policies > NAT rules, il faut vérifier :

  • La NAT rule correspondante se trouve-t-elle au-dessus de règles NAT plus générales ?
  • La règle est-elle active ?
  • Original source, destination et service correspondent-ils ?
  • Translated source, destination et service correspondent-ils ?
  • MASQ ou une IP SNAT fixe est-elle utilisée ?
  • Une Linked NAT Rule matche-t-elle de façon inattendue ?
  • Une règle SNAT générique matche-t-elle avant une règle plus spécifique ?

Pour les environnements simples, Sophos recommande généralement des NAT rules indépendantes plutôt que de créer une Linked NAT Rule par firewall rule.

Plus d’informations : Comprendre le NAT sur Sophos Firewall : SNAT, DNAT, MASQ, PAT.

Vérifier routing et SD-WAN

Si la règle matche, mais que la connexion ne fonctionne pas, le routing peut être le problème.

À vérifier :

  • Existe-t-il une route par défaut adaptée ?
  • Existe-t-il une route statique ?
  • Une SD-WAN route s’applique-t-elle ?
  • La gateway est-elle active ?
  • Existe-t-il des routes retour sur le système cible ou dans le réseau distant ?
  • Le chemin retour est-il symétrique ?
  • Le trafic passe-t-il par VPN, MPLS ou une autre interface que prévu ?

Important : le Policy tester ne représente pas complètement le SD-WAN routing. Il est très utile pour les décisions firewall, SSL/TLS et web policy, mais il ne remplace pas un vrai test de flux de paquets.

Plus d’informations : Changer la priorité de routage sur Sophos Firewall.

Activer le logging

Sans logs, le troubleshooting devient pénible. Deux endroits sont à vérifier :

  1. Log firewall traffic doit être activé dans la firewall rule.
  2. Sous System services > Log settings, le bon type de log doit être activé localement, pour Sophos Central ou pour syslog.

Le Log viewer affiche généralement les sessions firewall lorsque la firewall termine une connexion et reçoit un événement Destroy. Si une connexion internet se coupe simplement, toutes les sessions n’apparaissent pas forcément comme prévu.

Le Log Viewer s’ouvre en haut à droite dans la console WebAdmin. Les filtres utiles sont :

  • Source IP
  • Destination IP
  • Port ou service
  • Rule ID
  • Rule name
  • Action
  • User
  • NAT rule ID
Sophos Firewall Log Viewer avec Firewall rule ID et NAT rule ID
Dans le Log Viewer, on voit quelle Firewall Rule ID et quelle NAT Rule ID ont traité le trafic. C’est souvent plus rapide que de chercher seulement par nom de règle ou adresse IP.

Plus d’informations : Services et fichiers de logs Sophos Firewall.

Utiliser Packet Capture

Si le Log Viewer et les compteurs de règles ne suffisent pas, on utilise Diagnostics > Packet capture.

La question principale est :

Sophos Firewall Packet Capture avec filtre BPF, NAT ID et Rule ID
Packet Capture montre si les paquets arrivent, par quelle interface ils passent et quelle NAT ID ou Rule ID est visible. Le filtre BPF garde la sortie compacte et lisible.
ObservationSignification
Aucun paquet n’arriveLe problème se situe avant la firewall : client, switch, VLAN, gateway, provider, Cloud Security Group
Le paquet entre mais ne sort pasVérifier firewall rule, NAT, routing ou security feature
Le paquet sort, mais aucune réponse ne revientVérifier route retour, système cible, NAT ou blocage externe
Le paquet apparaît avec ViolationUne policy ou un security feature bloque
Le paquet affiche NAT ID et Rule IDComparer précisément les hits de règle et de NAT

Plus d’informations : Utiliser Packet Capture dans WebAdmin.

Vérifier les security features individuellement

Si la règle matche, mais que l’application ne fonctionne pas, un profil de protection peut intervenir :

  • Web Policy
  • SSL/TLS inspection rule
  • Decryption Profile
  • IPS Policy
  • Application Control
  • Malware Scan
  • Zero-day protection
  • Security Heartbeat
  • Traffic Shaping

Pour les tests, il ne faut pas tout désactiver durablement et globalement. Il vaut mieux vérifier brièvement et précisément, observer le Log Viewer, puis corriger proprement la cause. Pour TLS Inspection, voir Déployer TLS Inspection sur Sophos Firewall étape par étape.

Causes fréquentes

SymptômeCause probable
Le compteur de règle reste à 0Position de règle, Source zone, Destination zone ou Service incorrect
Le log affiche une autre règleUne règle plus générale se trouve au-dessus
Aucun log visibleLogging non activé ou trafic n’atteignant pas la firewall
DNS fonctionne, web nonVérifier Service, Web Policy, TLS Inspection ou QUIC
HTTPS n’est pas scannéAucune SSL/TLS inspection rule adaptée ou CA non distribuée
DNAT ne fonctionne pasLa firewall rule utilise une mauvaise Destination zone ou un mauvais Destination network
Le trafic VPN ne matche pasVérifier zone VPN, route, tunnelinterface ou contexte XFRM
Seuls certains utilisateurs sont concernésVérifier User Matching, groupe, SSO, Captive Portal ou Heartbeat

Déroulement pratique

  1. Noter le problème avec Source IP, destination, port, utilisateur et heure.
  2. Vérifier la position de la règle.
  3. Réinitialiser le compteur de règle.
  4. Reproduire le test.
  5. Filtrer le Log Viewer par Source IP et Destination IP.
  6. Vérifier NAT rule et routing.
  7. Démarrer Packet Capture avec un filtre étroit.
  8. Vérifier les Security Profiles uniquement de manière ciblée.
  9. Documenter la modification.

Pour un déroulement combiné, voir Tester une firewall rule avec Log Viewer, Policy Test et Packet Capture.

Informations complémentaires