Sophos Firewall tcpdump: Pakete per CLI mitschneiden
tcpdump ist das richtige Werkzeug, wenn man auf der Sophos Firewall genauer sehen muss, welche Pakete wirklich ankommen, über welches Interface sie laufen und ob ein Problem vor, auf oder hinter der Firewall entsteht. Es ergänzt den Log Viewer und das WebAdmin Packet Capture, ersetzt sie aber nicht.
Für schnelle Browser-Analysen ist Sophos Firewall Packet Capture im WebAdmin verwenden oft angenehmer. Für längere Mitschnitte, sehr genaue Filter, PCAP-Dateien oder Supportfälle ist tcpdump über SSH meist besser geeignet.
⚠️ Wichtig: Paketmitschnitte können sensible Daten enthalten. Deshalb sollten sie eng gefiltert, nur so lange wie nötig aufgezeichnet und nur über sichere Kanäle weitergegeben werden. Ein ungefilterter Mitschnitt auf
anykann auf produktiven Firewalls sehr viele Daten erzeugen.
Werkzeugwahl und Voraussetzungen
Bevor man tcpdump startet, sollte klar sein, ob wirklich ein CLI-Mitschnitt benötigt wird. Viele Fragen lassen sich schneller mit Log Viewer oder Packet Capture im WebAdmin beantworten. tcpdump wird dann wertvoll, wenn ein längerer Mitschnitt, ein sehr genauer Filter oder eine PCAP-Datei benötigt wird.
Welcher Artikel passt?
tcpdump ist nicht der erste Schritt für jede Analyse. Je nach Frage ist ein anderer Einstieg schneller:
| Situation | Besserer Einstieg |
|---|---|
| Man will schnell im WebAdmin sehen, ob Pakete ankommen, weitergeleitet oder verworfen werden | Sophos Firewall Packet Capture im WebAdmin verwenden |
| Eine Firewall-Regel soll mit Log Viewer, Policy tester und Packet Capture validiert werden | Sophos Firewall Regel testen mit Log Viewer, Policy tester und Packet Capture |
Der Fokus liegt auf Drop, Violation, Rule ID, NAT ID oder Drop-Gründen | Sophos Firewall verworfene Pakete analysieren |
| Unklar ist, welche lokale Logdatei zu VPN, Web, IPS, GUI oder Systemdiensten gehört | Sophos Firewall Troubleshooting: Services und Logs |
| SSH oder Advanced Shell ist noch nicht sauber vorbereitet | Sophos Firewall per SSH verbinden |
Ein Supportfall braucht zusätzlich /log-Archiv, IPsec-Daten oder Debug-Logs | Sophos Firewall Logs für Support und Analyse sichern |
| Man braucht eine PCAP-Datei, einen langen Mitschnitt oder sehr genaue CLI-Filter | Dieser Artikel |
Diese Trennung spart Zeit und reduziert Risiko. tcpdump liefert starke Paketdaten, aber keine Sophos-spezifische Policy-Entscheidung. Rule ID, NAT ID, Web Policy, IPS oder SSL/TLS inspection müssen parallel im Log Viewer, im WebAdmin Packet Capture oder in den passenden Logdateien geprüft werden.
Voraussetzungen
Für diese Anleitung benötigt man:
- Administrativen Zugriff auf die Sophos Firewall.
- SSH-Zugriff auf die Firewall oder Zugriff auf die Advanced Shell.
- Die Quell-IP, Ziel-IP, Zielport und das betroffene Protokoll.
- Genügend freien Speicherplatz, wenn eine PCAP-Datei geschrieben wird.
- Wireshark oder ein anderes Analysewerkzeug auf dem Admin-Client, wenn eine PCAP-Datei ausgewertet werden soll.
Wie man SSH sicher vorbereitet, steht in Sophos Firewall per SSH verbinden. Für allgemeine CLI-Grundlagen passt zusätzlich Sophos Firewall CLI Troubleshooting: wichtige Befehle.
Wann tcpdump der richtige nächste Schritt ist
tcpdump sollte nicht automatisch der erste Schritt sein. Wenn man nur wissen möchte, welche Firewall-Regel, NAT-Regel, Web Policy oder SSL/TLS-inspection-Regel entschieden hat, ist der Log Viewer schneller und besser lesbar. Wenn man im Browser sehen möchte, ob einzelne Pakete ankommen, weitergeleitet oder verworfen werden, reicht oft Packet Capture im WebAdmin.
tcpdump wird vor allem dann sinnvoll, wenn einer dieser Punkte zutrifft:
- Der Mitschnitt soll als PCAP-Datei in Wireshark oder durch Support ausgewertet werden.
- Der WebAdmin-Capture ist zu kurz, zu unübersichtlich oder der Buffer läuft voll.
- Der Test muss während eines Wartungsfensters, eines Telefonats oder eines reproduzierbaren Benutzerfehlers länger laufen.
- Es braucht präzise CLI-Filter, zum Beispiel für VoIP, DNS, IPsec, mehrere Hosts oder Portbereiche.
- Der relevante Traffic soll auf
anyund danach auf einem konkreten Interface verglichen werden.
Wichtig ist die Erwartung: tcpdump zeigt Pakete, aber keine Sophos-spezifische Rule ID, NAT ID oder Web-Policy-Entscheidung. Diese Informationen müssen parallel über Log Viewer, WebAdmin Packet Capture oder passende Logdateien geprüft werden.
Advanced Shell oder Device Console?
tcpdump wird in der Advanced Shell ausgeführt. Nach dem SSH-Login öffnet man deshalb nicht die normale Device Console für Firewall-Kommandos, sondern Device Management > Advanced Shell.
Diese Unterscheidung ist wichtig:
| Bereich | Für tcpdump geeignet? | Typischer Zweck |
|---|---|---|
| Device Console | Nein | Sophos-spezifische CLI-Befehle, zum Beispiel Routing-Priorität oder Systemoptionen |
| Advanced Shell | Ja | Linux-nahe Tools wie tcpdump, ps, df, grep, scp und Dateizugriff |
Wenn unklar ist, in welcher Konsole man sich befindet, hilft die Übersicht Sophos Firewall Troubleshooting: Services und Logs.
Capture vorbereiten
Ein guter Mitschnitt beginnt nicht mit dem Befehl, sondern mit einer klaren Fragestellung. Je genauer Quelle, Ziel, Port und Testzeitpunkt bekannt sind, desto kleiner und nützlicher wird das Ergebnis.
Vor dem Start eingrenzen
Vor einem Capture sollte man die Analyseparameter notieren:
| Feld | Beispiel |
|---|---|
| Source IP | 172.16.10.25 |
| Destination IP | 198.51.100.20 |
| Protokoll | TCP |
| Destination Port | 443 |
| Erwartetes Interface | LAN, WAN oder VPN-Interface |
| Testzeitpunkt | genaue Uhrzeit mit Zeitzone |
| Erwartetes Ergebnis | Verbindung erlaubt, blockiert, DNAT, SNAT, VPN oder Drop |
Je enger der Filter, desto besser ist das Ergebnis. Ein Capture ohne Filter ist meistens nur auf sehr ruhigen Firewalls sinnvoll.
Der Test sollte reproduzierbar sein. Wenn mehrere Personen gleichzeitig Einstellungen ändern oder mehrere Clients testen, wird der Mitschnitt schwer interpretierbar. Besser ist ein einzelner Testclient, ein enger Zeitrahmen und eine klare Frage: Kommt das Paket an? Geht es raus? Kommt die Antwort zurück?
Für Regeltests passt ergänzend Sophos Firewall Regel testen mit Log Viewer und Packet Capture. Wenn es vor allem um Drop, Violation, Rule ID oder NAT ID geht, ist Sophos Firewall verworfene Pakete analysieren der bessere Anschlussartikel.
tcpdump ausführen
Für den ersten Test reicht meistens ein Live-Capture. Wenn der Mitschnitt später analysiert oder an Support weitergegeben werden soll, schreibt man eine PCAP-Datei. Hintergrundprozesse sollten nur verwendet werden, wenn der Test nicht direkt in derselben SSH-Sitzung begleitet werden kann.
tcpdump live ausführen
Für einen ersten Live-Check reicht oft ein Host-Filter:
tcpdump -i any -nn host 198.51.100.20
Die Parameter:
| Parameter | Bedeutung |
|---|---|
-i any | auf allen Interfaces mitschneiden |
-nn | keine DNS- oder Portnamen-Auflösung durchführen |
host 198.51.100.20 | nur Pakete von oder zu dieser IP anzeigen |
Für einen Webtest ist ein zusätzlicher Portfilter sinnvoll:
tcpdump -i any -nn 'host 198.51.100.20 and port 443'
Filterausdrücke mit and, or oder not sollten in einfache Anführungszeichen gesetzt werden. Dadurch bleibt der Ausdruck sauber zusammen und wird nicht von der Shell zerlegt.
Häufige Filterbeispiele
| Ziel | Befehl |
|---|---|
| Bestimmter Host | tcpdump -i any -nn 'host 198.51.100.20' |
| Bestimmte Source IP | tcpdump -i any -nn 'src host 172.16.10.25' |
| Bestimmte Destination IP | tcpdump -i any -nn 'dst host 198.51.100.20' |
| Bestimmtes Netz | tcpdump -i any -nn 'net 172.16.10.0/24' |
| Bestimmter Port | tcpdump -i any -nn 'port 443' |
| Host und Port | tcpdump -i any -nn 'host 198.51.100.20 and port 443' |
| ICMP / Ping | tcpdump -i any -nn 'proto ICMP' |
| DNS | tcpdump -i any -nn 'port 53' |
| Alle Ports ausser SSH | tcpdump -i any -nn 'host 198.51.100.20 and port not 22' |
Bei VPN-, VLAN- oder Routing-Problemen kann es sinnvoll sein, nicht auf any, sondern auf ein konkretes Interface einzugrenzen. Die Interface-Namen müssen zur jeweiligen Firewall passen.
Mitschnitt begrenzen
Ein Capture sollte begrenzt werden, damit er nicht unnötig lange läuft.
Mit -c stoppt tcpdump nach einer festen Anzahl Pakete:
tcpdump -i any -nn -c 100 'host 198.51.100.20 and port 443'
Für kurze Tests ist das oft sauberer als ein Hintergrundprozess. Man startet den Capture, reproduziert das Problem und erhält danach automatisch die Ausgabe.
PCAP-Datei schreiben
Wenn der Mitschnitt später in Wireshark oder durch Support analysiert werden soll, schreibt man eine PCAP-Datei nach /tmp.
tcpdump -i any -nn -s 0 -w /tmp/sophos-capture.pcap 'host 198.51.100.20 and port 443'
Wichtige Parameter:
| Parameter | Bedeutung |
|---|---|
-s 0 | vollständige Pakete mitschneiden |
-w /tmp/sophos-capture.pcap | Ausgabe in eine PCAP-Datei schreiben |
-nn | Namensauflösung deaktivieren |
-s 0 ist hilfreich, wenn ein vollständiger Mitschnitt benötigt wird. Gleichzeitig steigt damit das Datenschutzrisiko, weil mehr Paketinhalt erfasst wird. Für reine Flow- oder Header-Fragen reicht oft ein Live-Capture ohne PCAP-Datei oder ein kurzer Mitschnitt mit enger Filterung.
Vor grösseren Mitschnitten sollte der freie Speicherplatz geprüft werden:
df -h /tmp
df -h /var
Wenn das Problem nur kurz reproduziert werden muss, kann auch hier -c ergänzt werden:
tcpdump -i any -nn -s 0 -c 500 -w /tmp/sophos-capture.pcap 'host 198.51.100.20 and port 443'
Nach dem Start sollte man den Test sofort reproduzieren und den Capture nicht unnötig weiterlaufen lassen. Ein PCAP, der fünf Minuten zu viel enthält, ist nicht nur grösser, sondern enthält oft auch mehr sensible Nebeninformationen.
Hintergrundprozess starten und stoppen
Manchmal muss ein Capture laufen, während ein anderer Test ausgeführt wird. Dann kann tcpdump im Hintergrund gestartet werden.
tcpdump -i any -nn -s 0 -w /tmp/voip-test.pcap 'host 192.0.2.50 and portrange 5060-5090' &
Laufende Jobs anzeigen:
jobs
Job beenden:
kill %1
Wenn mehrere tcpdump-Prozesse laufen oder der Job nicht mehr in der aktuellen Shell sichtbar ist, zuerst Prozesse prüfen:
ps | grep tcpdump
Danach gezielt den passenden Prozess beenden. killall tcpdump sollte nur verwendet werden, wenn klar ist, dass keine anderen wichtigen Mitschnitte laufen.
Nach dem Stoppen sollte man prüfen, ob die PCAP-Datei geschrieben wurde und eine plausible Grösse hat:
ls -lh /tmp/*.pcap
Beispiel: VoIP oder 3CX analysieren
Bei VoIP-Problemen sind SIP-Signalisierung und RTP-Medienstrom oft getrennt zu betrachten. Ein einzelner Capture auf port 5060 zeigt nur einen Teil des Problems.
Für einen ersten 3CX-Test kann man den PBX-Host mitschneiden:
tcpdump -i any -nn -s 0 -w /tmp/3cx-test.pcap 'host 192.0.2.50'
Wenn der Traffic zu breit ist, kann man gezielter auf SIP eingrenzen:
tcpdump -i any -nn -s 0 -w /tmp/3cx-sip.pcap 'host 192.0.2.50 and portrange 5060-5090'
Für Audio-Probleme muss zusätzlich der tatsächlich verwendete RTP-Portbereich geprüft werden. Dieser hängt von der Telefonanlage und deren Konfiguration ab.
Bei Sophos Firewall VoIP-Themen sollte zusätzlich Sophos Firewall VoIP Einstellungen optimieren geprüft werden.
Auswertung und Aufräumen
Nach dem Capture geht es um drei Dinge: Datei sicher übertragen, temporäre Daten entfernen und die Beobachtungen richtig einordnen. tcpdump zeigt den Paketfluss, aber nicht die komplette Sophos-Policy-Entscheidung.
PCAP-Datei herunterladen und aufräumen
Eine PCAP-Datei kann per scp auf einen internen Server kopiert werden:
scp /tmp/sophos-capture.pcap adminuser@192.0.2.10:/tmp/
Je nach Umgebung kann auch ein anderes sicheres Transferverfahren verwendet werden. FTP mit fest eingetragenen Zugangsdaten sollte vermieden werden.
Nach erfolgreicher Übertragung sollte die Datei auf der Firewall entfernt werden:
rm /tmp/sophos-capture.pcap
Für vollständige Logarchive und Supportfälle ist Sophos Firewall Logs für Support und Analyse sichern die passendere Anleitung.
tcpdump richtig auswerten
Bei der Auswertung geht es nicht nur darum, ob Pakete sichtbar sind. Entscheidend ist, was fehlt.
| Beobachtung | Typische Bedeutung |
|---|---|
| Keine Pakete vom Client sichtbar | Problem liegt vor der Firewall: Client, VLAN, Gateway, Switch oder Routing zur Firewall prüfen |
| Pakete kommen rein, gehen aber nicht raus | Firewallregel, NAT, Routing, Security Feature oder Policy prüfen |
| Pakete gehen raus, aber keine Antwort kommt zurück | Zielsystem, Rückroute, Gegenfirewall, NAT oder Provider prüfen |
| Nur SYN, kein SYN-ACK | Ziel oder Rückweg antwortet nicht |
| ICMP Request sichtbar, Reply fehlt | Rückroute, Ziel-Firewall oder Gegenstelle prüfen |
| DNS-Anfrage sichtbar, keine Antwort | DNS-Server, Route, Regel oder Upstream prüfen |
tcpdump zeigt den Paketfluss. Die Policy-Entscheidung selbst prüft man parallel im Log Viewer. Bei Firewall- und NAT-Fragen ist oft die Kombination aus Log Viewer, Packet Capture und tcpdump am schnellsten.
Für NAT-Fehler sollte man zusätzlich verstehen, dass NAT den Traffic nur übersetzt, aber nicht erlaubt. Die passende Grundlage ist NAT auf Sophos Firewall verstehen: SNAT, DNAT, MASQ, PAT. Bei IPsec-Tunneln helfen parallel Sophos Firewall IPsec VPN Troubleshooting und die passenden VPN-Logs.
Typische Fehler und Checkliste
Die häufigsten Probleme entstehen durch zu breite Filter, zu lange laufende Mitschnitte oder eine falsche Erwartung an das Werkzeug. Diese Punkte sollte man vor einem produktiven Capture prüfen.
Typische Fehler
| Fehler | Auswirkung | Bessere Vorgehensweise |
|---|---|---|
| Capture ohne Filter | zu viele Daten, schwer auswertbar | immer mit Host, Netz, Port oder Protokoll eingrenzen |
| Capture nicht gestoppt | Speicherplatz und Performance können leiden | -c verwenden oder Hintergrundprozess sauber beenden |
| Nur Hinrichtung geprüft | Rückwegproblem wird übersehen | beide Richtungen betrachten |
| Falsches Interface gewählt | relevante Pakete fehlen | zuerst any, danach gezielt Interface eingrenzen |
| PCAP unverschlüsselt geteilt | sensible Daten können offengelegt werden | sichere Übertragung und minimale Empfängergruppe |
| Datei nach Supportfall liegen gelassen | unnötiger Speicherverbrauch und Datenrisiko | PCAP nach Übertragung löschen |
Checkliste
- Source IP, Destination IP, Port und Protokoll bekannt.
- SSH-Zugriff auf die Firewall sicher eingerichtet.
- Vorher entschieden, ob Log Viewer oder WebAdmin Packet Capture ausreichen würde.
- Filter so eng wie möglich gewählt.
- Capture mit
-coder klarem Stoppprozess begrenzt. - PCAP-Datei nur bei Bedarf geschrieben.
- Problem während des Captures gezielt reproduziert.
- Uhrzeit des Tests dokumentiert.
- Log Viewer parallel geprüft.
- PCAP sicher übertragen.
- Temporäre PCAP-Datei von der Firewall entfernt.
FAQ
Was ist besser: WebAdmin Packet Capture oder tcpdump?
tcpdump besser geeignet.Soll man tcpdump auf any oder auf einem Interface starten?
any praktisch, weil man keine Pakete wegen eines falschen Interface-Filters verpasst. Sobald klar ist, welches Interface relevant ist, sollte man gezielter filtern.Warum sollte man -nn verwenden?
-nn verhindert DNS- und Portnamen-Auflösung. Dadurch startet die Ausgabe schneller und wird weniger durch Namensauflösung verfälscht.Muss man bei PCAP-Dateien immer -s 0 verwenden?
-s 0 erfasst vollständige Pakete und ist für detaillierte Analysen nützlich. Für viele erste Prüfungen reichen aber Header-Informationen oder ein kurzer Live-Capture. Je mehr Inhalt erfasst wird, desto wichtiger sind Datenschutz und sichere Weitergabe.Wo sollten PCAP-Dateien gespeichert werden?
/tmp üblich. Die Datei sollte nach der Übertragung wieder gelöscht werden.