Sophos Firewall Regel greift nicht: Ursachen prüfen
Wenn eine Firewall Regel nicht greift, ist selten die Firewall „kaputt“. Meist passt eine Bedingung nicht, eine allgemeinere Regel steht darüber, NAT verändert die Sicht auf den Traffic, User Matching ist nicht erfüllt oder Logging ist nicht sauber aktiviert.
Diese Checkliste hilft, systematisch vorzugehen, statt zufällig an Regeln zu drehen.
Erstes Prinzip: Die erste passende Regel gewinnt
Sophos Firewall verarbeitet Firewall Regeln von oben nach unten. Sobald eine Regel passt, werden nachfolgende Regeln nicht mehr geprüft. Dasselbe Grundprinzip gilt auch für NAT Regeln.
Wichtig:
- Die Position in der Liste entscheidet über die Auswertung.
- Die Rule ID ist nur eine Referenz und sagt nichts über die aktuelle Reihenfolge aus.
- Regelgruppen helfen bei der Übersicht, sind aber keine eigene Match-Logik.
- Eine allgemeine Regel oberhalb kann eine spezifische Regel darunter vollständig „schlucken“.
Wenn eine Regel nicht greift, prüft man deshalb zuerst die Position.
Regelzähler zurücksetzen
Bei unklaren Treffern hilft es, den Regelzähler zurückzusetzen.
- Rules and policies > Firewall rules öffnen.
- Die betroffene Regel suchen.
- Das Drei-Punkte-Menü öffnen.
- Reset data transfer count auswählen.
- Den Traffic erneut reproduzieren.
- Prüfen, ob der Zähler steigt.
Wenn der Zähler nicht steigt, matcht die Regel nicht. Wenn er steigt, aber die Anwendung trotzdem nicht funktioniert, liegt das Problem eher bei Security Profiles, NAT, Routing, Rückweg oder Zielsystem.
Matching-Felder prüfen
Eine Firewall Regel matcht nur, wenn alle relevanten Kriterien passen.
| Feld | Typische Fehler |
|---|---|
| Source zones | Falsche Zone, VLAN liegt in anderer Zone, VPN-Traffic kommt aus VPN |
| Source networks and devices | Falsches Objekt, falsche IP, Host-Gruppe unvollständig |
| Destination zones | Falsche Zielzone, besonders bei DNAT oder VPN |
| Destination networks | Vor-NAT- und Nach-NAT-Sicht verwechselt |
| Services | Port fehlt, TCP/UDP verwechselt, Anwendung nutzt Zusatzports |
| Users or groups | Benutzer ist nicht authentifiziert oder falsche Gruppe |
| Schedule | Zeitplan passt aktuell nicht |
| Exclusions | Traffic wird aus der Regel ausgenommen und darunter weiterverarbeitet |
Bei Webtraffic sollte man zusätzlich prüfen, ob QUIC aktiv ist. Wenn Browser Traffic über UDP 443 senden, greifen manche Webfilter- und Scanning-Erwartungen anders als bei klassischem HTTPS über TCP.
Mehr dazu: Sophos Firewall und das QUIC-Protokoll.
DNAT richtig lesen
Bei DNAT ist die Sicht in Firewall Regeln besonders wichtig. Als Faustregel kann man sich merken:
Firewall Regeln für DNAT-Traffic verwenden die Zielzone nach NAT, aber die Ziel-IP vor NAT.
Beispiel:
- Externer Client verbindet sich auf die WAN-IP der Firewall.
- NAT übersetzt auf einen internen Server in der
DMZ. - Die Firewall Regel verwendet als Destination zone die Zone des internen Servers, also zum Beispiel
DMZ. - Das Destination network bleibt aber die öffentliche IP oder das WAN-Objekt, das der Client angesprochen hat.
Wenn diese Kombination falsch ist, sieht die NAT-Regel vielleicht korrekt aus, die Firewall Regel matcht aber trotzdem nicht.
Mehr dazu: Server per DNAT auf Sophos Firewall veröffentlichen.
NAT-Regeln prüfen
NAT erlaubt keinen Traffic. NAT übersetzt nur. Es braucht immer zusätzlich eine passende Firewall Regel.
Unter Rules and policies > NAT rules sollte man prüfen:
- Steht die passende NAT-Regel oberhalb allgemeinerer NAT-Regeln?
- Ist die Regel aktiv?
- Stimmen Original source, destination und service?
- Stimmen Translated source, destination und service?
- Wird
MASQoder eine feste SNAT-IP verwendet? - Gibt es eine Linked NAT Rule, die unerwartet greift?
- Gibt es eine generische SNAT-Regel, die vor einer spezifischeren Regel matcht?
Sophos empfiehlt für einfache Umgebungen meistens eigenständige NAT-Regeln, statt pro Firewall Regel eine Linked NAT Rule zu erzeugen.
Mehr dazu: NAT auf Sophos Firewall verstehen: SNAT, DNAT, MASQ, PAT.
Routing und SD-WAN prüfen
Wenn die Regel matcht, aber die Verbindung nicht funktioniert, kann Routing das Problem sein.
Dabei prüft man:
- Gibt es eine passende Standardroute?
- Gibt es eine statische Route?
- Greift eine SD-WAN route?
- Ist das Gateway aktiv?
- Gibt es Rückrouten auf dem Zielsystem oder im entfernten Netz?
- Ist der Rückweg symmetrisch?
- Geht Traffic über VPN, MPLS oder ein anderes Interface als erwartet?
Wichtig: Der Policy tester bildet SD-WAN-Routing nicht vollständig ab. Er ist sehr hilfreich für Firewall-, SSL/TLS- und Web-Policy-Entscheidungen, ersetzt aber keinen echten Paketfluss-Test.
Mehr dazu: Routing-Priorität auf Sophos Firewall anpassen.
Logging aktivieren
Ohne Logs wird Troubleshooting mühsam. Man prüft zwei Stellen:
- In der Firewall Regel muss Log firewall traffic aktiviert sein.
- Unter System services > Log settings muss der passende Logtyp lokal, für Sophos Central oder für Syslog aktiviert sein.
Der Log viewer zeigt Firewall-Sessions typischerweise, wenn die Firewall eine Verbindung beendet und ein Destroy-Event erhält. Wenn eine Internetverbindung einfach abreisst, kann es sein, dass nicht jede Session so erscheint, wie man es erwartet.
Den Log Viewer öffnet man oben rechts in der WebAdmin-Konsole. Sinnvolle Filter sind:
- Source IP
- Destination IP
- Port oder Service
- Rule ID
- Rule name
- Action
- User
- NAT rule ID
Mehr dazu: Sophos Firewall Services und Log-Dateien verstehen.
Packet Capture verwenden
Wenn Log Viewer und Regelzähler nicht reichen, verwendet man Diagnostics > Packet capture.
Die wichtigste Frage lautet:
| Beobachtung | Bedeutung |
|---|---|
| Kein Paket kommt an | Problem liegt vor der Firewall: Client, Switch, VLAN, Gateway, Provider, Cloud Security Group |
| Paket kommt rein, geht aber nicht raus | Firewall Regel, NAT, Routing oder Security Feature prüfen |
| Paket geht raus, aber keine Antwort kommt zurück | Rückroute, Zielsystem, NAT oder externe Blockade prüfen |
Paket wird mit Violation angezeigt | Policy oder Security Feature blockiert |
| Paket zeigt NAT ID und Rule ID | Regel- und NAT-Treffer gezielt vergleichen |
Mehr dazu: Packet Capture Tool im WebAdmin verwenden.
Security Features einzeln prüfen
Wenn die Regel matcht, aber die Anwendung nicht funktioniert, kann ein Schutzprofil eingreifen:
- Web Policy
- SSL/TLS inspection rule
- Decryption Profile
- IPS Policy
- Application Control
- Malware Scan
- Zero-day protection
- Security Heartbeat
- Traffic Shaping
Für Tests kann man nicht pauschal alles dauerhaft deaktivieren. Besser ist: kurz gezielt prüfen, Log Viewer beobachten und danach die Ursache sauber beheben. Bei TLS Inspection hilft der Artikel TLS Inspection auf Sophos Firewall schrittweise ausrollen.
Häufige Ursachen
| Symptom | Wahrscheinliche Ursache |
|---|---|
| Regelzähler bleibt 0 | Regelposition, Source zone, Destination zone oder Service falsch |
| Log zeigt andere Regel | Allgemeinere Regel steht darüber |
| Kein Log sichtbar | Logging nicht aktiv oder Traffic erreicht Firewall nicht |
| DNS funktioniert, Web nicht | Service, Web Policy, TLS Inspection oder QUIC prüfen |
| HTTPS wird nicht gescannt | Keine passende SSL/TLS inspection rule oder CA nicht verteilt |
| DNAT funktioniert nicht | Firewall Regel nutzt falsche Destination zone oder falsches Destination network |
| VPN-Traffic matcht nicht | Zone VPN, Route, Tunnelinterface oder XFRM-Kontext prüfen |
| Nur einige Benutzer betroffen | User Matching, Gruppe, SSO, Captive Portal oder Heartbeat prüfen |
Praktischer Ablauf
- Problem mit Source IP, Destination, Port, User und Uhrzeit notieren.
- Regelposition prüfen.
- Regelzähler zurücksetzen.
- Test reproduzieren.
- Log Viewer mit Source IP und Destination IP filtern.
- NAT-Regel und Routing prüfen.
- Packet Capture mit engem Filter starten.
- Security Profile nur gezielt prüfen.
- Änderung dokumentieren.
Für einen kombinierten Testablauf siehe Firewall-Regel testen mit Log Viewer, Policy Test und Packet Capture.