Regola Sophos Firewall non applicata: verificare le cause
Quando una firewall rule non fa match, raramente la firewall è “rotta”. Di solito una condizione non corrisponde, una regola più generale si trova sopra, NAT cambia la vista del traffico, User Matching non è soddisfatto oppure il logging non è attivato correttamente.
Questa checklist aiuta a procedere in modo sistematico, invece di modificare regole a caso.
Primo principio: vince la prima regola che fa match
Sophos Firewall elabora le firewall rules dall’alto verso il basso. Appena una regola fa match, le regole successive non vengono più controllate. Lo stesso principio vale anche per le NAT rules.
Importante:
- La posizione nella lista decide l’elaborazione.
- La Rule ID è solo un riferimento e non dice nulla sull’ordine attuale.
- I rule groups aiutano la visione d’insieme, ma non sono una logica di match separata.
- Una regola generale sopra può “inghiottire” completamente una regola più specifica sotto.
Se una regola non fa match, per prima cosa si verifica quindi la posizione.
Resettare il contatore della regola
Quando gli hit non sono chiari, conviene resettare il contatore della regola.
- Aprire Rules and policies > Firewall rules.
- Cercare la regola interessata.
- Aprire il menu con tre puntini.
- Selezionare Reset data transfer count.
- Riprodurre il traffico.
- Verificare se il contatore aumenta.
Se il contatore non aumenta, la regola non fa match. Se aumenta, ma l’applicazione non funziona comunque, il problema è più probabilmente nei Security Profiles, NAT, routing, percorso di ritorno o sistema di destinazione.
Verificare i campi di matching
Una firewall rule fa match solo quando tutti i criteri rilevanti corrispondono.
| Campo | Errori tipici |
|---|---|
| Source zones | Zona errata, VLAN in un’altra zona, traffico VPN da VPN |
| Source networks and devices | Oggetto errato, IP errato, host group incompleto |
| Destination zones | Zona di destinazione errata, soprattutto con DNAT o VPN |
| Destination networks | Vista pre-NAT e post-NAT confuse |
| Services | Porta mancante, TCP/UDP confusi, applicazione con porte aggiuntive |
| Users or groups | Utente non autenticato o gruppo errato |
| Schedule | Schedule non applicabile in quel momento |
| Exclusions | Traffico escluso dalla regola e processato più in basso |
Per il traffico web bisogna verificare anche se QUIC è attivo. Se il browser invia traffico tramite UDP 443, alcune aspettative di Webfiltering e scanning si comportano diversamente rispetto al classico HTTPS su TCP.
Maggiori dettagli: Sophos Firewall e il protocollo QUIC.
Leggere correttamente DNAT
Con DNAT la vista nelle firewall rules è particolarmente importante. Come regola pratica:
Le firewall rules per traffico DNAT usano la zona di destinazione dopo NAT, ma l’IP di destinazione prima di NAT.
Esempio:
- Un client esterno si collega all’IP WAN della firewall.
- NAT traduce verso un server interno nella
DMZ. - La firewall rule usa come Destination zone la zona del server interno, per esempio
DMZ. - Il Destination network rimane l’IP pubblico o l’oggetto WAN contattato dal client.
Se questa combinazione è sbagliata, la regola NAT può sembrare corretta, ma la firewall rule continua a non fare match.
Maggiori dettagli: Pubblicare un server tramite DNAT su Sophos Firewall.
Verificare le NAT rules
NAT non consente il traffico. NAT traduce soltanto. Serve sempre anche una firewall rule corrispondente.
In Rules and policies > NAT rules si verifica:
- La NAT rule corretta si trova sopra regole NAT più generali?
- La regola è attiva?
- Original source, destination e service corrispondono?
- Translated source, destination e service corrispondono?
- Si usa
MASQo un IP SNAT fisso? - Esiste una Linked NAT Rule che fa match in modo inatteso?
- Esiste una regola SNAT generica che fa match prima di una regola più specifica?
Per ambienti semplici, Sophos consiglia di solito NAT rules autonome invece di creare una Linked NAT Rule per ogni firewall rule.
Maggiori dettagli: Capire NAT su Sophos Firewall: SNAT, DNAT, MASQ, PAT.
Verificare routing e SD-WAN
Se la regola fa match ma la connessione non funziona, il problema può essere il routing.
Si verifica:
- Esiste una default route corretta?
- Esiste una route statica?
- Si applica una SD-WAN route?
- Il gateway è attivo?
- Esistono route di ritorno sul sistema di destinazione o nella rete remota?
- Il percorso di ritorno è simmetrico?
- Il traffico passa via VPN, MPLS o un’altra interfaccia rispetto al previsto?
Importante: il Policy tester non rappresenta completamente il routing SD-WAN. È molto utile per decisioni firewall, SSL/TLS e web policy, ma non sostituisce un vero test del flusso pacchetti.
Maggiori dettagli: Modificare la priorità di routing su Sophos Firewall.
Attivare il logging
Senza log, il troubleshooting diventa faticoso. Si verificano due punti:
- Nella firewall rule deve essere attivo Log firewall traffic.
- In System services > Log settings deve essere attivo il tipo di log corretto localmente, per Sophos Central o per syslog.
Il Log viewer mostra tipicamente le sessioni firewall quando la firewall termina una connessione e riceve un evento Destroy. Se una connessione internet si interrompe semplicemente, non tutte le sessioni appaiono necessariamente come previsto.
Il Log Viewer si apre in alto a destra nella console WebAdmin. Filtri utili sono:
- Source IP
- Destination IP
- Porta o service
- Rule ID
- Rule name
- Action
- User
- NAT rule ID
Maggiori dettagli: Servizi e file di log Sophos Firewall.
Usare Packet Capture
Se Log Viewer e contatori delle regole non bastano, si usa Diagnostics > Packet capture.
La domanda principale è:
| Osservazione | Significato |
|---|---|
| Nessun pacchetto arriva | Problema prima della firewall: client, switch, VLAN, gateway, provider, Cloud Security Group |
| Il pacchetto entra ma non esce | Verificare firewall rule, NAT, routing o security feature |
| Il pacchetto esce ma non torna risposta | Verificare route di ritorno, sistema target, NAT o blocco esterno |
Il pacchetto appare con Violation | Policy o security feature blocca |
| Il pacchetto mostra NAT ID e Rule ID | Confrontare in modo mirato hit della regola e NAT |
Maggiori dettagli: Usare Packet Capture nel WebAdmin.
Verificare singolarmente i security feature
Se la regola fa match ma l’applicazione non funziona, può intervenire un profilo di protezione:
- Web Policy
- SSL/TLS inspection rule
- Decryption Profile
- IPS Policy
- Application Control
- Malware Scan
- Zero-day protection
- Security Heartbeat
- Traffic Shaping
Per i test non conviene disattivare tutto in modo permanente. Meglio controllare brevemente e in modo mirato, osservare il Log Viewer e poi correggere correttamente la causa. Per TLS Inspection aiuta l’articolo Introdurre TLS Inspection su Sophos Firewall passo dopo passo.
Cause frequenti
| Sintomo | Causa probabile |
|---|---|
| Il contatore regola resta a 0 | Posizione regola, Source zone, Destination zone o Service errati |
| Il log mostra un’altra regola | Una regola più generale si trova sopra |
| Nessun log visibile | Logging non attivo o traffico che non raggiunge la firewall |
| DNS funziona, web no | Verificare Service, Web Policy, TLS Inspection o QUIC |
| HTTPS non viene scansionato | Nessuna SSL/TLS inspection rule adatta o CA non distribuita |
| DNAT non funziona | Firewall rule usa Destination zone o Destination network errati |
| Il traffico VPN non fa match | Verificare zona VPN, route, tunnelinterface o contesto XFRM |
| Solo alcuni utenti coinvolti | Verificare User Matching, gruppo, SSO, Captive Portal o Heartbeat |
Procedura pratica
- Annotare problema con Source IP, destinazione, porta, user e ora.
- Verificare posizione della regola.
- Resettare contatore della regola.
- Riprodurre il test.
- Filtrare Log Viewer per Source IP e Destination IP.
- Verificare NAT rule e routing.
- Avviare Packet Capture con filtro stretto.
- Verificare Security Profiles solo in modo mirato.
- Documentare la modifica.
Per un flusso di test combinato vedere Testare una firewall rule con Log Viewer, Policy Test e Packet Capture.