Naar de inhoud
Avanet

Sophos Firewall tcpdump veilig gebruiken

tcpdump is het juiste gereedschap wanneer men op de Sophos Firewall nauwkeuriger moet zien welke pakketten daadwerkelijk aankomen, via welke interface ze lopen en of er een probleem ontstaat voor, op of achter de firewall. Het vult Log Viewer, WebAdmin Packet Capture en servicelogs aan, maar vervangt deze niet.

Voor snelle browseranalyses is Sophos Firewall Packet Capture in WebAdmin gebruiken vaak prettiger. Voor langere opnames, zeer nauwkeurige filters, PCAP-bestanden of supportgevallen is tcpdump via SSH meestal geschikter.

⚠️ Belangrijk: Pakketopnames kunnen gevoelige gegevens bevatten: interne IP-adressen, hostnamen, gebruikersnamen, DNS-verzoeken, certificaatdetails of onversleutelde payload. Daarom moeten ze nauw worden gefilterd, alleen zo lang als nodig opgenomen, gedocumenteerd en alleen via veilige kanalen doorgegeven. Een ongefilterde opname op any kan op productieve firewalls zeer veel gegevens genereren.

Hulpmiddelkeuze en vereisten

Welk artikel past?

tcpdump is niet de eerste stap voor elke analyse. Afhankelijk van de vraag is een andere start sneller:

Deze scheiding bespaart tijd en vermindert risico. tcpdump levert sterke pakketgegevens, maar geen Sophos-specifieke beleidsbeslissing. Rule ID, NAT ID, Drop Reason, Web Policy, IPS of SSL/TLS-inspectie moeten parallel in de Log Viewer, in het WebAdmin Packet Capture of in de passende logbestanden worden gecontroleerd.

Vereisten

Voor deze handleiding is nodig:

  • Administratieve toegang tot de Sophos Firewall.
  • SSH-toegang tot de firewall of toegang tot de Advanced Shell.
  • De bron-IP, doel-IP, doelpoort en het betrokken protocol.
  • Voldoende vrije opslagruimte als een PCAP-bestand wordt geschreven.
  • Wireshark of een ander analysehulpmiddel op de admin-client als een PCAP-bestand moet worden geëvalueerd.

Hoe SSH veilig wordt voorbereid, staat in Sophos Firewall verbinden via SSH. Voor algemene CLI-grondslagen past aanvullend Sophos Firewall CLI Troubleshooting: belangrijke commando’s.

Wanneer tcpdump de juiste volgende stap is

tcpdump moet niet automatisch de eerste stap zijn. Als alleen duidelijk moet worden welke firewallregel, NAT-regel, Web Policy of SSL/TLS-inspectieregel heeft beslist, is de Log Viewer sneller en beter leesbaar. Als in de browser moet worden gecontroleerd of afzonderlijke pakketten aankomen, doorgestuurd of verworpen worden, volstaat vaak Packet Capture in WebAdmin.

tcpdump wordt vooral zinvol wanneer een van deze punten van toepassing is:

  • De opname moet als PCAP-bestand in Wireshark of door support worden geëvalueerd.
  • De WebAdmin-capture is te kort, te onoverzichtelijk of de buffer loopt vol.
  • De test moet tijdens een onderhoudsvenster, een telefoongesprek of een reproduceerbare gebruikersfout langer lopen.
  • Er zijn precieze CLI-filters nodig, bijvoorbeeld voor VoIP, DNS, IPsec, meerdere hosts of poortbereiken.
  • De relevante traffic moet eerst op any en daarna op een specifieke interface worden vergeleken.

Belangrijk is de verwachting: tcpdump toont pakketten, maar geen Sophos-specifieke Rule ID, NAT ID, Drop Reason of Web-Policy-beslissing. Deze informatie moet parallel via Log Viewer, WebAdmin Packet Capture of passende logbestanden worden gecontroleerd.

Advanced Shell of Device Console?

tcpdump kan op Sophos Firewall in twee CLI-contexten voorkomen. De Sophos Device Console bevat een eigen tcpdump-commando met Sophos-syntaxis en opties zoals filedump. De Advanced Shell biedt daarnaast de vertrouwde Linux-achtige tcpdump, die bij supportcases vaak praktischer is omdat procesbeheer, scp, /tmp en andere shell-tools beschikbaar zijn.

Dit onderscheid is belangrijk:

  • Device Console: geschikt voor het Sophos CLI-commando tcpdump. Controleer voor het uitvoeren de syntaxis met Tab of ?. Volgens Sophos wordt uitvoer die met filedump is gemaakt onder /tmp opgeslagen.
  • Advanced Shell: geschikt voor klassieke shell-workflows met tcpdump, ps, df, grep, scp, bestandstoegang en het gericht stoppen van lopende processen.

Dit artikel gebruikt bewust de Advanced Shell, omdat PCAP-bestanden, achtergrondprocessen, scp en opruimwerk daar beter samenhangen. Als tcpdump in de Device Console wordt gebruikt, gelden dezelfde basisregels: smalle filters, korte captureperiode, vrije ruimte controleren en het resultaat vergelijken met Log Viewer of WebAdmin Packet Capture.

Als onduidelijk is welke console actief is, helpt het overzicht Sophos Firewall Troubleshooting: Services en Logs.

Capture voorbereiden

Voor de start beperken

Voor een capture moeten de analyseparameters worden genoteerd:

  • Source IP: bijvoorbeeld 172.16.10.25.
  • Destination IP: bijvoorbeeld 198.51.100.20.
  • Protocol: bijvoorbeeld TCP.
  • Destination Port: bijvoorbeeld 443.
  • Verwacht interface: LAN, WAN of VPN-interface.
  • Testtijdstip: exacte tijd met tijdzone.
  • Verwacht resultaat: verbinding toegestaan, geblokkeerd, DNAT, SNAT, VPN of Drop.
  • Parallelle controle: Log Viewer, Packet Capture, servicelog of supportticket.

Hoe strakker de filter, hoe beter het resultaat. Een capture zonder filter is meestal alleen op zeer rustige firewalls zinvol.

De test moet reproduceerbaar zijn. Als meerdere personen tegelijkertijd instellingen wijzigen of meerdere clients testen, wordt de opname moeilijk interpreteerbaar. Beter is een enkele testclient, een strakke tijdsperiode en een duidelijke vraag: Komt het pakket aan? Gaat het eruit? Komt het antwoord terug? Welke regel, NAT-regel of policy was parallel zichtbaar?

Voor regeltests past aanvullend Sophos Firewall-regels testen met Log Viewer en Packet Capture. Als het vooral om Drop, Violation, Rule ID of NAT ID gaat, is Sophos Firewall verworpen pakketten analyseren het betere vervolgartikel.

tcpdump uitvoeren

tcpdump live uitvoeren

Voor een eerste live-check volstaat vaak een host-filter:

tcpdump -i any -nn host 198.51.100.20

De parameters:

  • -i any: op alle interfaces opnemen.
  • -nn: geen DNS- of poortnaamresolutie uitvoeren.
  • host 198.51.100.20: alleen pakketten van of naar dit IP-adres weergeven.

Voor een webtest is een extra poortfilter zinvol:

tcpdump -i any -nn 'host 198.51.100.20 and port 443'

Filteruitdrukkingen met and, or of not moeten tussen enkele aanhalingstekens worden geplaatst. Hierdoor blijft de uitdrukking netjes samen en wordt deze niet door de shell opgesplitst.

Veelvoorkomende filtervoorbeelden

  • Bepaalde host: tcpdump -i any -nn 'host 198.51.100.20'
  • Bepaalde Source IP: tcpdump -i any -nn 'src host 172.16.10.25'
  • Bepaalde Destination IP: tcpdump -i any -nn 'dst host 198.51.100.20'
  • Bepaald netwerk: tcpdump -i any -nn 'net 172.16.10.0/24'
  • Bepaalde poort: tcpdump -i any -nn 'port 443'
  • Host en poort: tcpdump -i any -nn 'host 198.51.100.20 and port 443'
  • ICMP / Ping: tcpdump -i any -nn 'proto ICMP'
  • DNS: tcpdump -i any -nn 'port 53'
  • Alle poorten behalve SSH: tcpdump -i any -nn 'host 198.51.100.20 and port not 22'

Bij VPN-, VLAN- of routeringsproblemen kan het zinvol zijn om niet op any, maar op een specifieke interface te beperken. De interface-namen moeten bij de betreffende firewall passen. Praktisch is vaak deze volgorde:

  1. Kort op any controleren of de verwachte host of poort zichtbaar is.
  2. Daarna op het vermoedelijke ingangsinterface opnemen.
  3. Daarna op het vermoedelijke uitgangsinterface opnemen.
  4. De drie observaties vergelijken met Log Viewer, NAT ID, Rule ID of Drop Reason.

Zo herkent men sneller of het verkeer de firewall niet bereikt, op de firewall wordt gestopt of het antwoord op de terugweg ontbreekt.

Opname beperken

Een capture moet worden beperkt, zodat deze niet onnodig lang loopt.

Met -c stopt tcpdump na een vast aantal pakketten:

tcpdump -i any -nn -c 100 'host 198.51.100.20 and port 443'

Voor korte tests is dit vaak netter dan een achtergrondproces. Je start de capture, reproduceert het probleem en ontvangt daarna automatisch de output.

PCAP-bestand schrijven

Als de opname later in Wireshark of door support moet worden geanalyseerd, schrijft men een PCAP-bestand naar /tmp.

tcpdump -i any -nn -s 0 -w /tmp/sophos-capture.pcap 'host 198.51.100.20 and port 443'

Belangrijke parameters:

  • -s 0: volledige pakketten opnemen.
  • -w /tmp/sophos-capture.pcap: output naar een PCAP-bestand schrijven.
  • -nn: naamresolutie uitschakelen.

-s 0 is nuttig als een volledige opname nodig is. Tegelijkertijd verhoogt dit het gegevensbeschermingsrisico, omdat meer pakketinhoud wordt vastgelegd. Voor puur flow- of header-vragen volstaat vaak een live-capture zonder PCAP-bestand of een korte opname met strakke filtering.

Voor grotere opnames moet de vrije opslagruimte worden gecontroleerd:

df -h /tmp
df -h /var

Als het probleem slechts kort moet worden gereproduceerd, kan ook hier -c worden toegevoegd:

tcpdump -i any -nn -s 0 -c 500 -w /tmp/sophos-capture.pcap 'host 198.51.100.20 and port 443'

Na de start moet men de test onmiddellijk reproduceren en de capture niet onnodig laten doorlopen. Een PCAP die vijf minuten te veel bevat, is niet alleen groter, maar bevat vaak ook meer gevoelige neveninformatie.

Voor supportcases moet de bestandsnaam neutrale context bevatten, maar geen klantnamen, gebruikersnamen of vertrouwelijke hostnamen. Beter zijn namen zoals /tmp/ticket-12345-wan-443.pcap of /tmp/vpn-test-20260629.pcap.

Achtergrondproces starten en stoppen

Soms moet een capture lopen terwijl een andere test wordt uitgevoerd. Dan kan tcpdump op de achtergrond worden gestart.

tcpdump -i any -nn -s 0 -w /tmp/voip-test.pcap 'host 192.0.2.50 and portrange 5060-5090' &

Lopende jobs weergeven:

jobs

Job beëindigen:

kill %1

Als meerdere tcpdump-processen lopen of de job niet meer in de huidige shell zichtbaar is, eerst processen controleren:

ps | grep tcpdump

Daarna gericht het juiste proces beëindigen. killall tcpdump moet alleen worden gebruikt als duidelijk is dat er geen andere belangrijke opnames lopen.

Na het stoppen moet worden gecontroleerd of het PCAP-bestand is geschreven en een plausibele grootte heeft:

ls -lh /tmp/*.pcap

Als een background-capture voor een supportafspraak gepland is, moet vooraf vaststaan wie hem start, wie hem stopt en waar het bestand daarna terechtkomt. Een vergeten opname is geen zeldzaam troubleshooting-probleem, maar een vermijdbaar operationeel risico.

Voorbeeld: VoIP of 3CX analyseren

Bij VoIP-problemen moeten SIP-signalisatie en RTP-mediastroom vaak apart worden bekeken. Een enkele capture op port 5060 toont slechts een deel van het probleem.

Voor een eerste 3CX-test kan de PBX-host worden opgenomen:

tcpdump -i any -nn -s 0 -w /tmp/3cx-test.pcap 'host 192.0.2.50'

Als de traffic te breed is, kan gerichter op SIP worden beperkt:

tcpdump -i any -nn -s 0 -w /tmp/3cx-sip.pcap 'host 192.0.2.50 and portrange 5060-5090'

Voor audioproblemen moet daarnaast het daadwerkelijk gebruikte RTP-poortbereik worden gecontroleerd. Dit hangt af van de telefooncentrale en de configuratie daarvan.

Bij Sophos Firewall VoIP-onderwerpen moet daarnaast Sophos Firewall VoIP-instellingen optimaliseren worden gecontroleerd.

Evaluatie en opschoning

PCAP-bestand downloaden en opruimen

Een PCAP-bestand kan via scp naar een interne server worden gekopieerd:

scp /tmp/sophos-capture.pcap adminuser@192.0.2.10:/tmp/

Afhankelijk van de omgeving kan ook een andere veilige overdrachtsmethode worden gebruikt. FTP met vast ingestelde inloggegevens moet worden vermeden.

Na succesvolle overdracht moet het bestand op de firewall worden verwijderd:

rm /tmp/sophos-capture.pcap

Voor volledige logarchieven en supportgevallen is Sophos Firewall Logs voor Support en Analyse veiligstellen de passendere handleiding.

Context voor support of externe analyse

Een PCAP-bestand zonder context is moeilijk te evalueren. Voor Sophos Support, Avanet of een externe analysepartner moeten minstens deze gegevens worden meegegeven:

  • Tijdvenster: bijvoorbeeld 2026-06-29, 14:05-14:08 Europe/Zurich.
  • Verwachte flow: bijvoorbeeld client 172.16.10.25 naar server 198.51.100.20:443.
  • Betrokken functie: DNAT, IPsec, SSL VPN, webfilter, VoIP, DNS of routing.
  • Observatie: bijvoorbeeld SYN zichtbaar, geen SYN-ACK, drop in Log Viewer of geen antwoord van het doel.
  • Parallel gecontroleerd: Rule ID, NAT ID, Packet Capture en relevante servicelogs.
  • Wijziging vóór de fout: firmware, regelwijziging, providerwissel, certificaat of SD-WAN-route.

Vóór overdracht moet worden gecontroleerd of het bestand interne namen, private adressen, publieke klant-IP-adressen of onversleutelde inhoud bevat. Als de inhoud niet geanonimiseerd kan worden, moeten ontvangers, overdrachtsweg en bewaartermijn bewust worden beslist.

tcpdump correct evalueren

Bij de evaluatie gaat het niet alleen om de vraag of pakketten zichtbaar zijn. Doorslaggevend is wat ontbreekt.

  • Geen pakketten van de client zichtbaar: probleem ligt vóór de firewall. Client, VLAN, gateway, switch of routering naar de firewall controleren.
  • Pakketten komen binnen, maar gaan niet uit: firewallregel, NAT, routering, Security Feature of policy controleren.
  • Pakketten gaan uit, maar geen antwoord komt terug: doelsysteem, retourroute, tegenfirewall, NAT of provider controleren.
  • Alleen SYN, geen SYN-ACK: doel of retourweg antwoordt niet.
  • ICMP-verzoek zichtbaar, antwoord ontbreekt: retourroute, doel-firewall of tegenpartij controleren.
  • DNS-verzoek zichtbaar, geen antwoord: DNS-server, route, regel of upstream controleren.
  • Pakket alleen op any, maar niet op verwacht interface zichtbaar: interface-aanname, zone, route of tunneltoewijzing controleren.
  • Pakket op ingangsinterface zichtbaar, maar niet op uitgangsinterface: regel, NAT, route, Security Feature of Drop Reason controleren.

tcpdump toont de pakketstroom. De beleidsbeslissing zelf controleert men parallel in de Log Viewer. Bij firewall- en NAT-vragen is vaak de combinatie van Log Viewer, Packet Capture en tcpdump het snelst.

Voor NAT-fouten moet daarnaast duidelijk zijn dat NAT traffic alleen vertaalt, maar niet toestaat. De passende basis is NAT op Sophos Firewall begrijpen: SNAT, DNAT, MASQ, PAT. Bij IPsec-tunnels helpen parallel Sophos Firewall IPsec VPN Troubleshooting en de passende VPN-logs.

Typische fouten en checklist

Typische fouten

  • Capture zonder filter: te veel gegevens, moeilijk te evalueren. Altijd met host, netwerk, poort of protocol beperken.
  • Capture niet gestopt: opslagruimte en prestaties kunnen lijden. -c gebruiken of achtergrondproces netjes beëindigen.
  • Alleen any geëvalueerd: interface- of tunnelprobleem blijft verborgen. Na de eerste treffer gericht ingangs- en uitgangsinterface vergelijken.
  • Alleen heenweg gecontroleerd: retourwegprobleem wordt over het hoofd gezien. Beide richtingen bekijken.
  • Verkeerde interface gekozen: relevante pakketten ontbreken. Eerst any, daarna gericht interface beperken.
  • PCAP onversleuteld gedeeld: gevoelige gegevens kunnen worden blootgelegd. Veilige overdracht en minimale ontvangersgroep gebruiken.
  • Bestand na supportgeval laten liggen: onnodig opslagverbruik en gegevensrisico. PCAP na overdracht verwijderen.

Checklist

  • Bron IP, Doel IP, Poort en Protocol bekend.
  • SSH-toegang tot de firewall veilig ingericht.
  • Vooraf besloten of Log Viewer of WebAdmin Packet Capture voldoende zou zijn.
  • Filter zo strak mogelijk gekozen.
  • Capture met -c of duidelijke stopprocedure beperkt.
  • PCAP-bestand alleen indien nodig geschreven.
  • Bij interfacevragen eerst any, daarna ingangs- en uitgangsinterface vergeleken.
  • Probleem tijdens de capture gericht gereproduceerd.
  • Tijdstip van de test gedocumenteerd.
  • Log Viewer parallel gecontroleerd.
  • Rule ID, NAT ID, Drop Reason of servicelog genoteerd, indien zichtbaar.
  • PCAP veilig overgedragen.
  • Tijdelijk PCAP-bestand van de firewall verwijderd.

FAQ

Wat is beter: WebAdmin Packet Capture of tcpdump?

Voor snelle analyses direct in de browser is het WebAdmin Packet Capture ideaal. Voor langere opnames, PCAP-bestanden, nauwkeurigere filters of supportgevallen is tcpdump beter geschikt.

Moet tcpdump op any of op een interface starten?

Voor de eerste beperking is any praktisch, omdat men geen pakketten mist door een verkeerde interface-filter. Zodra duidelijk is welke interface relevant is, moet gerichter worden gefilterd.

Waarom is -nn zinvol?

-nn voorkomt DNS- en poortnaamresolutie. Hierdoor start de output sneller en wordt deze minder door naamresolutie vervalst.

Moet bij PCAP-bestanden altijd -s 0 worden gebruikt?

Nee. -s 0 legt volledige pakketten vast en is nuttig voor gedetailleerde analyses. Voor veel eerste controles volstaan echter header-informatie of een korte live-capture. Hoe meer inhoud wordt vastgelegd, des te belangrijker zijn gegevensbescherming en veilige overdracht.

Waar moeten PCAP-bestanden worden opgeslagen?

Voor tijdelijke opnames is /tmp gebruikelijk. Het bestand moet na de overdracht weer worden verwijderd.

Waarom ziet tcpdump geen Rule ID of NAT ID?

tcpdump toont pakketten op besturingssysteem- en interfaceniveau. Sophos-specifieke beslissingen zoals Rule ID, NAT ID, Web Policy, IPS Policy of Drop Reason ziet men in de Log Viewer, in WebAdmin Packet Capture of in de passende logbestanden.