Naar de inhoud
Avanet

Sophos Firewall Packet Capture gebruiken in WebAdmin

Packet Capture is een van de belangrijkste troubleshooting-tools in de WebAdmin van de Sophos Firewall. Het toont of pakketten op een interface aankomen, of ze worden doorgestuurd, welke regel of NAT-ID van toepassing is en of een pakket wordt verworpen.

De Log Viewer toont de beslissing van de firewall. Packet Capture toont de pakketstroom. Beide samen zijn vaak de snelste weg naar de oorzaak. Als een firewallregel specifiek getest moet worden, past de procedure in Sophos Firewall Regel testen met Log Viewer, Policy tester en Packet Capture ook goed.

Belangrijk is de context: Dit artikel beschrijft de WebAdmin-versie van Packet Capture. Voor een eerste controle is deze ideaal, omdat je direct in de browser kunt zien of pakketten aankomen, worden doorgestuurd of worden verworpen. Voor langere opnames, zeer nauwkeurige filters, PCAP-export of supportgevallen is een tcpdump via SSH vaak beter geschikt.

Hulpmiddelkeuze

Welke artikel past?

Packet Capture is bijzonder krachtig wanneer de werkelijke pakketstroom onduidelijk is. Voor gerelateerde vragen is soms een andere benadering sneller:

SituatieBetere benadering
Een enkele firewallregel moet worden gevalideerd met Log Viewer, Policy tester en Packet CaptureSophos Firewall Regel testen met Log Viewer, Policy tester en Packet Capture
Een regel matcht helemaal niet of er verschijnt een onverwachte Rule IDSophos Firewall Regel grijpt niet: Oorzaken controleren
NAT ID, DNAT, SNAT, MASQ of adresvertaling is de focusNAT op Sophos Firewall begrijpen
Een interne server wordt vanuit het internet gepubliceerdServer publiceren via DNAT
De Capture toont Drop, Violation, Invalid traffic of een onduidelijke drop-redenSophos Firewall verworpen pakketten analyseren
De traffic eindigt op WebAdmin, VPN Portal, SSH, DNS, SNMP of een andere firewall-dienstDevice Access correct configureren
De opname moet langer duren dan PCAP kan opslaan of in Wireshark kan worden geanalyseerdSophos Firewall tcpdump: Pakketten opnemen via CLI
Naast pakketopname zijn lokale logbestanden voor support nodigSophos Firewall Logs voor support en analyse veiligstellen

Deze scheiding is belangrijk: Packet Capture toont pakketten en status op pakketniveau. Het vervangt echter niet de Log Viewer voor beleidsbeslissingen, niet het NAT-artikel voor vertalingslogica en niet tcpdump wanneer een analyseerbaar PCAP-bestand nodig is.

Wanneer Packet Capture zinvol is

Packet Capture helpt vooral bij vragen zoals:

  • Komt de traffic überhaupt bij de firewall aan?
  • Gaat de traffic via de verwachte interface weer naar buiten?
  • Grijpt een firewallregel?
  • Grijpt een NAT-regel?
  • Wordt een pakket door beleid, IPS of routing verworpen?
  • Komt er een antwoord van het doelsysteem terug?
  • Wordt er een andere poort of een ander protocol gebruikt dan gedacht?

Als er in de Log Viewer niets zichtbaar is, is Packet Capture vaak de volgende stap. Dan zie je of het probleem voor de firewall ligt of dat de firewall de traffic verwerkt.

Als de focus ligt op drops, Violation, Rule ID, NAT ID of verworpen pakketten, past Sophos Firewall verworpen pakketten analyseren ook goed.

Je vindt de tool onder:

Diagnostics > Packet capture

Packet Capture opent direct in WebAdmin. Afhankelijk van de SFOS-versie en browserweergave lijkt het op een eigen diagnosevenster binnen de WebAdmin-weergave.

Voor het openen moet het testgeval al vaststaan. De tool is het krachtigst wanneer je een enkele flow reproduceert en niet pas tijdens de opname bedenkt waarnaar je zoekt.

Voor de start verduidelijkenVoorbeeld
Source IPClient, Server, VPN-client of firewall-interface
DestinationDoel-IP, gepubliceerde adres of FQDN met momenteel opgeloste IP
ServiceICMP, TCP 443, UDP 500, NTP of specifieke toepassingspoort
Verwachte richtingLAN naar WAN, WAN naar DMZ, VPN naar LAN of client naar firewall
Verwachte beslissingForwarded, Consumed, Generated, Violation, DNAT/SNAT of Security-Feature-treffer

Na het openen moet je eerst Configure gebruiken en de Capture Filter instellen voordat de test wordt gestart. Als bestemming, CDN-doel of NAT-zicht nog onduidelijk zijn, is een eerste filter op de Source IP vaak beter dan een te nauw filter met een verkeerde doeladres. Na de gereproduceerde test moet de opname weer worden gestopt, zodat de weergave niet volloopt met achtergrondverkeer.

Log Viewer, Packet Capture of tcpdump?

Log Viewer, Packet Capture in WebAdmin en tcpdump beantwoorden verschillende vragen. Wie het verkeerde gereedschap eerst gebruikt, zoekt vaak op de verkeerde plek.

ToolToont vooral
Log ViewerWelke firewallregel, NAT-regel, webbeleid, Application Control, IPS of SSL/TLS-inspectie heeft beslist
Packet Capture in WebAdminOf individuele pakketten aankomen, worden doorgestuurd, geconsumeerd, gegenereerd of verworpen
tcpdump via SSHLangere opnames, PCAP-bestanden, supportgevallen en zeer gerichte CLI-filters

Een goed voorbeeld is een ping. In de Log Viewer zie je vaak slechts één vermelding of een samengevatte beslissing over de verbinding. In Packet Capture zie je daarentegen de individuele ICMP-pakketten: Echo Request naar het doel en Echo Reply terug. Windows stuurt standaard vier ICMP Echo Requests met ping. In Packet Capture verwacht je daarom meerdere heen- en terugpakketten. Als alleen de Requests zichtbaar zijn, maar geen Replies terugkomen, is dat een ander probleem dan wanneer er helemaal geen Request bij de firewall aankomt.

Voor de praktijk betekent dit:

  • Log Viewer beantwoordt: Welke regel of welk module heeft beslist?
  • Packet Capture beantwoordt: Zijn de pakketten echt aangekomen en welke route nemen ze?
  • Bij routing-, NAT-, VLAN-, gateway- of retourwegproblemen is Packet Capture vaak veelzeggender.
  • Bij webfilter-, Application Control-, IPS- of SSL/TLS-inspectiebeslissingen heb je daarnaast de Log Viewer nodig.
  • Voor opnames die naar Sophos Support of externe analysepartners gaan, is tcpdump meestal beter dan een screenshot uit WebAdmin.

Capture voorbereiden

Voor de start goed afbakenen

Packet Capture moet niet ongefilterd worden gestart. In productienetwerken ontstaan anders zeer veel gegevens en wordt de uitvoer onoverzichtelijk.

⚠️ Packet Capture moet op productieve firewalls nooit als brede continue opname draaien. Een nauw filter, een korte test en een duidelijk tijdstip verminderen de gegevenshoeveelheid, het privacyrisico en misinterpretaties.

Vooraf moet je noteren:

  • Source IP
  • Destination IP of FQDN
  • Protocol
  • Source Port, indien relevant
  • Destination Port
  • Interface of Zone
  • Tijdstip van de test
  • Betrokken toepassing
  • Verwachte firewallregel of NAT-regel, indien bekend
  • Verwacht resultaat: toegestaan, geblokkeerd, DNAT, SNAT, VPN, webbeleid of IPS

Voor een webtest zou de afbakening er bijvoorbeeld zo uit kunnen zien:

VeldVoorbeeld
Source IP172.16.10.25
Destination93.184.216.34
ProtocolTCP
Destination Port443
Verwachte richtingLAN naar WAN

In de praktijk moet je altijd slechts één testgeval tegelijk reproduceren. Meerdere parallelle wijzigingen aan firewallregel, NAT, routing en clientconfiguratie maken de Capture-uitvoer moeilijk te interpreteren. Als de test een gebruikersprobleem betreft, moet je daarnaast de aangemelde gebruiker, het betrokken apparaat en het exacte tijdstip noteren.

Capture Filter configureren

Via Configure stel je een zo nauw mogelijk filter in.

Typische filters:

  • Source IP van de client
  • Destination IP van de server
  • Destination Port
  • Protocol TCP, UDP of ICMP
  • Interface

Als je de doelserver niet kent, kun je eerst alleen op de Source IP filteren. Als daarna te veel pakketten zichtbaar zijn, verder beperken.

Sophos Firewall gebruikt hiervoor Berkeley Packet Filter Syntax, kort BPF. De Capture Filter bepaalt welke pakketten überhaupt in de Capture-buffer worden geschreven. Hij moet daarom zo goed mogelijk voor de test worden ingesteld.

Typische BPF-voorbeelden:

DoelBPF-voorbeeld
Bepaalde hosthost 10.10.10.1
Bepaalde Source IPsrc host 10.10.10.1
Bepaalde Destination IPdst host 10.10.10.1
Bepaald netwerknet 10.10.10.0
Bepaalde poortport 443
Bepaalde doelpoortdst port 443
Bepaalde host en poorthost 10.10.10.1 and port 443
ICMP/Pingproto ICMP
TCPproto TCP
UDPproto UDP

Voor een zeer gerichte webtest kan een filter er bijvoorbeeld zo uitzien:

host 172.16.10.25 and host 93.184.216.34 and port 443

Voor een ping-test is vaak voldoende:

host 172.16.10.25 and proto ICMP

Als het filter te nauw is

Een nauw Capture Filter is belangrijk, maar het mag de fout niet verbergen. Vooral bij DNS, NAT, CDNs en retourwegen moet je bewust beslissen of je eerst breed genoeg of meteen zeer precies filtert.

Typische valkuilen:

SituatieBetere filterbenadering
Doel is alleen als FQDN bekendEerst DNS-resolutie controleren of met Source IP beginnen en daarna op de zichtbare doel-IP beperken
Website gebruikt CDN of meerdere IP-adressenNiet alleen een enkele oude doel-IP gebruiken, maar de actuele testtraffic observeren
DNAT wordt gecontroleerdAfhankelijk van het perspectief openbare doel-IP, interne server en poort in overweging nemen
SNAT of MASQ is betrokkenSource IP voor NAT en vertaalde Source op de Out interface mentaal scheiden
Antwoordpakketten ontbrekenFilter zo kiezen dat heen- en terugrichting zichtbaar blijven
Gebruikers- of toepassingsprobleemEerst Source IP en tijdstip nauw instellen, daarna poort, doel of Rule ID beperken

Voor de eerste run is een filter op de Source IP vaak zinvoller dan een te precies filter met een verkeerde Destination IP. Als de relevante flow zichtbaar is, kun je in de tweede run nauwer filteren. Bij NAT-fouten moet je bovendien controleren of je net de zicht voor of na de vertaling bekijkt.

In de WebAdmin-weergave zie je na het opslaan de actieve BPF-string boven de pakketlijst. De eerste screenshot toont de filterconfiguratie, de tweede screenshot de resultatenlijst met actief filter.

Sophos Firewall Packet Capture Configure capture filter met BPF String voor Host en Port 443
Sophos Firewall - Packet Capture Filter met BPF String configureren
Sophos Firewall Packet Capture Resultatenlijst met actief BPF Filter en vastgelegde TCP-pakketten
Sophos Firewall - Packet Capture met actief BPF Filter en vastgelegde pakketten

⚠️ PCAP-gegevens kunnen IP-adressen, hostnamen, protocolgegevens en afhankelijk van het protocol ook gebruikersgegevens bevatten. Captures moeten alleen worden gedeeld met personen of partners die deze gegevens mogen zien.

Capture uitvoeren

Capture starten en reproduceren

  1. Filter instellen.
  2. Packet Capture via de schuifregelaar inschakelen.
  3. Probleem gericht reproduceren.
  4. Capture weer stoppen.
  5. Resultaten analyseren.
  6. Capture legen als een nieuwe test wordt gestart.

Sophos Firewall toont de status en de buffer:

WeergaveBetekenis
Trace OnPacket Capture is actief
Trace OffPacket Capture is uitgeschakeld
Buffer sizeGrootte van de Capture-buffer, in de Sophos-documentatie 2048 KB
Buffer usedHuidig gebruikte buffer

Als de buffer vol is, stopt de opname automatisch. Daarna moet je met Clear legen voordat opnieuw zinvol kan worden opgenomen. Daarom is een nauw filter belangrijk.

In de filterinstellingen kun je bovendien bepalen hoeveel bytes per pakket worden vastgelegd. Voor veel eerste analyses zijn header-informatie voldoende. Als je meer gebruikersgegevens nodig hebt, moet je meer bytes vastleggen, maar je moet wel rekening houden met privacy en buffergrootte.

Uitvoer interpreteren

Belangrijke kolommen begrijpen

Packet Capture toont veel velden. Voor de praktijk zijn deze bijzonder belangrijk:

VeldBetekenis
TimeTijdstip van het pakket
In interfaceInterface waarop het pakket binnenkwam
Out interfaceInterface waarover het pakket uitgaat
Source IPBronadres
Destination IPDoeladres
Packet typeProtocol of pakkettetype
Ports [src, dst]Bron- en doelpoort
NAT IDPassende NAT-regel
Rule IDPassende firewallregel
StatusPakketstatus
ReasonReden voor drop of violation
Connection statusStatus van de verbinding
Gateway IDGebruikte gateway
UsernameHerkende gebruiker
IPS policy IDToegepaste IPS-policy
Application filter IDToegepaste Application Control-policy

Deze velden zijn waardevol omdat ze de kloof dichten tussen “regel lijkt correct” en “traffic loopt echt zo”.

Via Show additional properties of de detailweergave zie je afhankelijk van de versie meer informatie zoals Connection ID, Web filter ID, Application ID, Web category ID, Gateway ID, Username of andere Policy-IDs. Deze details helpen als een pakket niet alleen door een firewallregel, maar ook door Web, Application Control, IPS of andere modules wordt verwerkt.

Status correct interpreteren

StatusBetekenis
IncomingPakket is op een interface ontvangen
ForwardedPakket is doorgestuurd
ConsumedPakket is voor de firewall zelf bestemd
GeneratedPakket is door de firewall gegenereerd
ViolationPakket is vanwege een policy-overtreding verworpen

Als je alleen Incoming ziet en geen Forwarded, blijft het pakket waarschijnlijk op de firewall hangen. Dan moet je firewallregel, NAT, routing en beveiligingsfuncties controleren.

Als Forwarded zichtbaar is, maar er komt geen antwoord terug, ligt het probleem vaak bij het doelsysteem, retourweg, NAT of een tegenpartij.

Bij een succesvolle ping zie je doorgaans pakketten in beide richtingen. Als Windows vier pings verstuurt, zie je meerdere ICMP Echo Requests van de client naar het doel en meerdere Echo Replies terug. Ontbreken de Replies, controleer dan retourroute, doelsysteem, lokale firewall van het doelsysteem, NAT of een tegenpartij. Ontbreken al de Requests, controleer dan client, gateway, VLAN, switch-poort of de traffic de Sophos Firewall überhaupt bereikt.

Consumed en Generated correct lezen

Consumed en Generated worden gemakkelijk verkeerd geïnterpreteerd. Deze statussen betekenen niet automatisch dat er een normale firewallregel ontbreekt.

StatusTypisch gevalWat je daarna moet controleren
ConsumedPakket is voor de Sophos Firewall zelf bestemdDevice Access, Local service ACL, dienstconfiguratie, admin- of gebruikersrechten
GeneratedPakket is door de Sophos Firewall zelf gegenereerdSysteemdienst, DNS, NTP, VPN, update, gateway monitoring of antwoord van de firewall

Voorbeelden van Consumed zijn toegang tot WebAdmin, User Portal, VPN Portal, SSH, DNS, SNMP, IPsec of SSL VPN van de firewall zelf. Dergelijke traffic wordt niet zoals normale doorgangstraffic behandeld door een LAN-to-WAN- of WAN-to-DMZ-regel. Als een pakket in de Capture Consumed toont, moet je daarom eerst verduidelijken of de client echt de firewall zelf wilde bereiken.

Voor deze gevallen zijn Administration > Device access en Local Service ACL belangrijker dan een normale firewallregel. De beveiliging van deze toegang is beschreven in Sophos Firewall toegang beveiligen: Device Access correct configureren.

Display Filter gebruiken

De Capture Filter beperkt welke pakketten worden vastgelegd. De Display filter filtert daarentegen alleen de al vastgelegde weergave. Dit is handig als je de Capture opzettelijk iets breder hebt gestart en daarna alleen bepaalde pakketten wilt weergeven.

In de Display Filter kun je onder andere op deze velden filteren:

  • Interfacenaam
  • Ethernet type, bijvoorbeeld IPv4, IPv6 of ARP
  • Packet type
  • Source IP en Source port
  • Destination IP en Destination port
  • Reason
  • Status
  • Rule ID
  • User
  • Connection ID

Voor het oplossen van problemen zijn vooral Status, Reason, Rule ID, Source IP, Destination IP en Destination port nuttig. Als er veel pakketten in de Capture staan, kun je hiermee snel op het relevante deel reduceren zonder de test meteen opnieuw te moeten starten.

NAT in Packet Capture lezen

Bij NAT moet je er rekening mee houden dat een pakket voor en na NAT er anders uitziet. Packet Capture kan NAT ID, Rule ID en de gewijzigde adressen zichtbaar maken.

Bij NAT-problemen moet je controleren:

  • Zie je het pakket met het originele adres?
  • Zie je het pakket na de vertaling?
  • Wordt de verwachte NAT ID weergegeven?
  • Gaat het pakket over de verwachte Out interface?
  • Komt er een antwoord terug?

Voor DNAT geldt bovendien: De firewallregel gebruikt de doelzone na NAT, maar de doel-IP voor NAT. Dit lijkt in eerste instantie ongewoon.

Meer hierover: NAT op Sophos Firewall begrijpen: SNAT, DNAT, MASQ, PAT.

Packet Capture en Log Viewer combineren

De beste procedure is:

  1. Log Viewer openen.
  2. Packet Capture met nauw filter starten.
  3. Test reproduceren.
  4. In Packet Capture controleren of pakketten aankomen en doorgaan.
  5. In Log Viewer controleren welke regel of welk module heeft beslist.
  6. Indien nodig naar het juiste logbestand schakelen.

De Log Viewer toont bijvoorbeeld firewall, web, SSL/TLS-inspectie, IPS of Application Control Events. Packet Capture toont daarentegen de pakketstroom op interface-niveau.

Vooral bij ping of eenvoudige TCP-verbindingen is de combinatie belangrijk. De Log Viewer kan alleen tonen dat een verbinding is toegestaan of geblokkeerd. Packet Capture toont daarnaast of de antwoordpakketten terugkomen, of NAT van toepassing is, of de juiste Out interface wordt gebruikt en of de retourweg klopt.

Typische analysegevallen

Client bereikt internet niet: Capture instellen op Source IP en TCP 443. Als er geen pakket aankomt, client, VLAN, gateway of switch controleren. Als pakket binnenkomt maar niet uitgaat, firewallregel, NAT of routing controleren.

DNAT werkt niet: Capture instellen op openbare doel-IP en externe poort. Als er geen pakket aankomt, provider-router, poortdoorschakeling, cloud security group of WAN controleren. Als pakket aankomt maar niet naar de interne server gaat, DNAT-regel en firewallregel controleren.

VPN-verkeer werkt niet: Capture instellen op tunnel-interface, XFRM-interface of relevante bron-/doelnetwerken. Daarnaast strongswan.log, charon.log of xfrmi.log controleren.

Webfilter blokkeert onverwacht: In Packet Capture zie je meestal alleen de pakketstroom. De beslissing zelf beter in Log Viewer onder Web, Application Control of SSL/TLS-inspectie controleren.

Kleine tests werken, grote overdrachten hangen: Capture instellen op de betrokken client en het doel en letten op retransmits, ontbrekende antwoorden of opvallende pakketgroottes. Als ping, login of kleine HTTP-verzoeken werken, maar grotere downloads, RDP, VoIP of VPN-toepassingen hangen, moet je daarnaast MTU, MSS, PPPoE, VPN-overhead en fragmentatie controleren. De procedure staat in Sophos Firewall MTU en MSS bij VPN-problemen controleren.

Typische misinterpretaties

Packet Capture toont veel, maar niet altijd wat je eerst verwacht. Sommige misinterpretaties komen in supportgevallen bijzonder vaak voor.

ObservatieNiet meteen concluderenBeter controleren
Pakket staat op IncomingFirewall is de schuldigeIs er daarna Forwarded, Consumed, Violation of een passende regelbeslissing?
Pakket is ForwardedVerbinding moet werkenAntwoordpakket, retourroute, doelsysteem en lokale firewall van het doelsysteem controleren
NAT ID is leegNAT is verkeerdNiet alle traffic heeft NAT nodig; eerst verwacht NAT-ontwerp controleren
Rule ID is onverwachtDe gewenste regel is defectRegelvolgorde, zones, objecten, gebruikersmatching en Rule Group controleren
Geen pakketten zichtbaarFirewall blokkeertFilter, interface, client-gateway, VLAN, switch-poort en voorgeschakelde apparaten controleren
Alleen Requests zichtbaarUitgangsregel is niet voldoendeRetourweg, NAT, tegenpartij, doel-firewall en asymmetrische routing controleren

Als de Packet Capture een onverwachte Rule ID toont, moet je niet meteen meerdere regels wijzigen. Beter is eerst een vergelijking met de Log Viewer en de regelpositie. Voor systematisch matching past Sophos Firewall Regel grijpt niet: Oorzaken controleren.

Grenzen, privacy en delen

Privacy en delen van Captures

Packet-Capture-gegevens zijn operationele gegevens. Ook al zijn vaak alleen headers zichtbaar, ze kunnen interne IP-adressen, openbare doelen, gebruikersnamen, hostnamen, poorten, protocollen en communicatieverbanden onthullen. Bij ongecodeerde protocollen kunnen bovendien gebruikersgegevens zichtbaar zijn.

Voor het delen moet je daarom controleren:

  • Bevat de opname klantnamen, interne hostnamen of openbare IP-adressen?
  • Zijn gebruikers, systemen of toepassingen herkenbaar?
  • Is de ontvanger bevoegd om deze informatie te zien?
  • Is een screenshot van de relevante regels voldoende of is echt een PCAP-bestand nodig?
  • Moet de opname vooraf worden ingekort of geanonimiseerd?

Voor supportgevallen is vaak een gerichte tcpdump-opname met een nauwkeurige filter beter dan een brede WebAdmin-capture. Als daarnaast logbestanden nodig zijn, helpt Sophos Firewall Logs voor support en analyse veiligstellen.

Wanneer tcpdump beter is

De WebAdmin Packet Capture is ideaal voor snelle analyses direct in de browser. Je ziet snel of pakketten aankomen, worden doorgestuurd, geconsumeerd, gegenereerd of verworpen. Voor een eerste afbakening is dit meestal de juiste start.

tcpdump is beter wanneer de opname niet alleen als schermweergave nodig is, maar als analyseerbaar bestand of als langere technische spoor.

SituatieBeter gereedschapWaarom
Korte test met zichtbare Rule ID, NAT ID en statusWebAdmin Packet Capturedirect in WebAdmin, goed te combineren met Log Viewer
PCAP-bestand voor Wireshark, Sophos Support of externe analysetcpdumpschrijft een bestand dat later goed kan worden onderzocht
Sporadische fout die niet in enkele seconden reproduceerbaar istcpdumpkan gericht langer draaien, maar moet wel worden beperkt
Zeer nauwkeurige filters op hosts, poorten, protocollen of interface-vergelijkingtcpdumpCLI-BPF-filters zijn flexibeler en reproduceerbaarder
Onzekere policy- of NAT-beslissingWebAdmin Packet Capture plus Log Viewertcpdump toont geen Sophos-specifieke Rule ID of NAT ID

Het belangrijkste verschil: tcpdump toont pakketten, maar geen Sophos-specifieke beslissing. Als je moet weten welke firewallregel, NAT-regel, webbeleid, IPS-policy of SSL/TLS-inspectieregel betrokken was, heb je nog steeds Log Viewer, WebAdmin Packet Capture of het juiste logbestand nodig.

Voor tcpdump moeten SSH of Advanced Shell bewust worden vrijgegeven. De opname moet nauwkeurig worden gefilterd, tijdig worden beperkt en na de analyse weer worden verwijderd. Een brede PCAP op een productieve firewall kan snel gevoelige gegevens en onnodig veel achtergrondverkeer bevatten.

Meer hierover: Sophos Firewall tcpdump: Pakketten opnemen via CLI.

Checklist

  • Testgeval met Source, Destination, Port, Protocol en tijdstip noteren.
  • Verwachte firewallregel en NAT-regel kennen, indien mogelijk.
  • Capture Filter nauw instellen.
  • Bij DNS, NAT of CDN-doelen controleren of de filter heen- en terugrichting echt vastlegt.
  • Slechts één testgeval tegelijk reproduceren.
  • Packet Capture na de test weer stoppen.
  • Incoming, Forwarded, Consumed, Generated en Violation bewust onderscheiden.
  • Rule ID en NAT ID met Log Viewer vergelijken.
  • Bij ontbrekend antwoord retourweg, NAT, doelsysteem en tegenpartij controleren.
  • Bij hangende grote overdrachten MTU/MSS, fragmentatie en VPN-overhead meerekenen.
  • Captures voor het delen op gevoelige gegevens controleren.
  • Voor langere opnames of PCAP-bestanden tcpdump gebruiken.

FAQ

Wanneer moet je Packet Capture op Sophos Firewall gebruiken?

Packet Capture is zinvol wanneer de werkelijke pakketstroom onduidelijk is: Komt traffic aan, wordt het doorgestuurd, verworpen of blijft het op de firewall? Voor puur beleidsbeslissingen is vaak eerst de Log Viewer voldoende.

Wat is het verschil tussen Capture Filter en Display Filter?

De Capture Filter bepaalt welke pakketten worden vastgelegd. De Display Filter filtert alleen de al vastgelegde weergave. Voor productieve tests moet de Capture Filter zo nauw mogelijk worden ingesteld.

Waarom zie je in Packet Capture alleen Incoming, maar geen Forwarded?

Dan is het pakket wel ontvangen, maar niet doorgestuurd. Typische oorzaken zijn firewallregel, NAT, routing, beveiligingsfunctie, verkeerde zone of een pakket dat voor de firewall zelf bestemd is.

Wat betekent Consumed in Packet Capture?

Consumed betekent dat het pakket voor de Sophos Firewall zelf bestemd is. Dan moet je Device Access, Local Service ACL en de betrokken firewall-dienst controleren, niet alleen normale firewallregels.

Wanneer is tcpdump beter dan Packet Capture in WebAdmin?

tcpdump is beter voor langere opnames, PCAP-bestanden, supportgevallen, zeer nauwkeurige CLI-filters en analyses die later in Wireshark of met Sophos Support worden geëvalueerd.

Kan je Packet Capture ongefilterd laten draaien?

Technisch is dat mogelijk, maar in productieve omgevingen meestal geen goed idee. Zonder nauw filter ontstaan veel gegevens, loopt de buffer snel vol en worden gevoelige communicatiegegevens onnodig vastgelegd.

Waarom ziet Packet Capture ondanks juiste test geen pakketten?

Vaak is de filter te nauw of past niet bij de huidige zicht van de firewall. Bij FQDNs, CDN-doelen, NAT, DNAT of asymmetrische retourweg moet je eerst met Source IP en tijdstip controleren en daarna stapsgewijs nauwer filteren.