Sophos Firewall Packet Capture gebruiken in WebAdmin
Packet Capture is een van de belangrijkste troubleshooting-tools in de WebAdmin van de Sophos Firewall. Het toont of pakketten op een interface aankomen, of ze worden doorgestuurd, welke regel of NAT-ID van toepassing is en of een pakket wordt verworpen.
De Log Viewer toont de beslissing van de firewall. Packet Capture toont de pakketstroom. Beide samen zijn vaak de snelste weg naar de oorzaak. Als een firewallregel specifiek getest moet worden, past de procedure in Sophos Firewall Regel testen met Log Viewer, Policy tester en Packet Capture ook goed.
Belangrijk is de context: Dit artikel beschrijft de WebAdmin-versie van Packet Capture. Voor een eerste controle is deze ideaal, omdat je direct in de browser kunt zien of pakketten aankomen, worden doorgestuurd of worden verworpen. Voor langere opnames, zeer nauwkeurige filters, PCAP-export of supportgevallen is een tcpdump via SSH vaak beter geschikt.
Hulpmiddelkeuze
Welke artikel past?
Packet Capture is bijzonder krachtig wanneer de werkelijke pakketstroom onduidelijk is. Voor gerelateerde vragen is soms een andere benadering sneller:
| Situatie | Betere benadering |
|---|---|
| Een enkele firewallregel moet worden gevalideerd met Log Viewer, Policy tester en Packet Capture | Sophos Firewall Regel testen met Log Viewer, Policy tester en Packet Capture |
| Een regel matcht helemaal niet of er verschijnt een onverwachte Rule ID | Sophos Firewall Regel grijpt niet: Oorzaken controleren |
| NAT ID, DNAT, SNAT, MASQ of adresvertaling is de focus | NAT op Sophos Firewall begrijpen |
| Een interne server wordt vanuit het internet gepubliceerd | Server publiceren via DNAT |
De Capture toont Drop, Violation, Invalid traffic of een onduidelijke drop-reden | Sophos Firewall verworpen pakketten analyseren |
| De traffic eindigt op WebAdmin, VPN Portal, SSH, DNS, SNMP of een andere firewall-dienst | Device Access correct configureren |
| De opname moet langer duren dan PCAP kan opslaan of in Wireshark kan worden geanalyseerd | Sophos Firewall tcpdump: Pakketten opnemen via CLI |
| Naast pakketopname zijn lokale logbestanden voor support nodig | Sophos Firewall Logs voor support en analyse veiligstellen |
Deze scheiding is belangrijk: Packet Capture toont pakketten en status op pakketniveau. Het vervangt echter niet de Log Viewer voor beleidsbeslissingen, niet het NAT-artikel voor vertalingslogica en niet tcpdump wanneer een analyseerbaar PCAP-bestand nodig is.
Wanneer Packet Capture zinvol is
Packet Capture helpt vooral bij vragen zoals:
- Komt de traffic überhaupt bij de firewall aan?
- Gaat de traffic via de verwachte interface weer naar buiten?
- Grijpt een firewallregel?
- Grijpt een NAT-regel?
- Wordt een pakket door beleid, IPS of routing verworpen?
- Komt er een antwoord van het doelsysteem terug?
- Wordt er een andere poort of een ander protocol gebruikt dan gedacht?
Als er in de Log Viewer niets zichtbaar is, is Packet Capture vaak de volgende stap. Dan zie je of het probleem voor de firewall ligt of dat de firewall de traffic verwerkt.
Als de focus ligt op drops, Violation, Rule ID, NAT ID of verworpen pakketten, past Sophos Firewall verworpen pakketten analyseren ook goed.
Menupad
Je vindt de tool onder:
Diagnostics > Packet capture
Packet Capture opent direct in WebAdmin. Afhankelijk van de SFOS-versie en browserweergave lijkt het op een eigen diagnosevenster binnen de WebAdmin-weergave.
Voor het openen moet het testgeval al vaststaan. De tool is het krachtigst wanneer je een enkele flow reproduceert en niet pas tijdens de opname bedenkt waarnaar je zoekt.
| Voor de start verduidelijken | Voorbeeld |
|---|---|
| Source IP | Client, Server, VPN-client of firewall-interface |
| Destination | Doel-IP, gepubliceerde adres of FQDN met momenteel opgeloste IP |
| Service | ICMP, TCP 443, UDP 500, NTP of specifieke toepassingspoort |
| Verwachte richting | LAN naar WAN, WAN naar DMZ, VPN naar LAN of client naar firewall |
| Verwachte beslissing | Forwarded, Consumed, Generated, Violation, DNAT/SNAT of Security-Feature-treffer |
Na het openen moet je eerst Configure gebruiken en de Capture Filter instellen voordat de test wordt gestart. Als bestemming, CDN-doel of NAT-zicht nog onduidelijk zijn, is een eerste filter op de Source IP vaak beter dan een te nauw filter met een verkeerde doeladres. Na de gereproduceerde test moet de opname weer worden gestopt, zodat de weergave niet volloopt met achtergrondverkeer.
Log Viewer, Packet Capture of tcpdump?
Log Viewer, Packet Capture in WebAdmin en tcpdump beantwoorden verschillende vragen. Wie het verkeerde gereedschap eerst gebruikt, zoekt vaak op de verkeerde plek.
| Tool | Toont vooral |
|---|---|
| Log Viewer | Welke firewallregel, NAT-regel, webbeleid, Application Control, IPS of SSL/TLS-inspectie heeft beslist |
| Packet Capture in WebAdmin | Of individuele pakketten aankomen, worden doorgestuurd, geconsumeerd, gegenereerd of verworpen |
tcpdump via SSH | Langere opnames, PCAP-bestanden, supportgevallen en zeer gerichte CLI-filters |
Een goed voorbeeld is een ping. In de Log Viewer zie je vaak slechts één vermelding of een samengevatte beslissing over de verbinding. In Packet Capture zie je daarentegen de individuele ICMP-pakketten: Echo Request naar het doel en Echo Reply terug. Windows stuurt standaard vier ICMP Echo Requests met ping. In Packet Capture verwacht je daarom meerdere heen- en terugpakketten. Als alleen de Requests zichtbaar zijn, maar geen Replies terugkomen, is dat een ander probleem dan wanneer er helemaal geen Request bij de firewall aankomt.
Voor de praktijk betekent dit:
- Log Viewer beantwoordt: Welke regel of welk module heeft beslist?
- Packet Capture beantwoordt: Zijn de pakketten echt aangekomen en welke route nemen ze?
- Bij routing-, NAT-, VLAN-, gateway- of retourwegproblemen is Packet Capture vaak veelzeggender.
- Bij webfilter-, Application Control-, IPS- of SSL/TLS-inspectiebeslissingen heb je daarnaast de Log Viewer nodig.
- Voor opnames die naar Sophos Support of externe analysepartners gaan, is
tcpdumpmeestal beter dan een screenshot uit WebAdmin.
Capture voorbereiden
Voor de start goed afbakenen
Packet Capture moet niet ongefilterd worden gestart. In productienetwerken ontstaan anders zeer veel gegevens en wordt de uitvoer onoverzichtelijk.
⚠️ Packet Capture moet op productieve firewalls nooit als brede continue opname draaien. Een nauw filter, een korte test en een duidelijk tijdstip verminderen de gegevenshoeveelheid, het privacyrisico en misinterpretaties.
Vooraf moet je noteren:
- Source IP
- Destination IP of FQDN
- Protocol
- Source Port, indien relevant
- Destination Port
- Interface of Zone
- Tijdstip van de test
- Betrokken toepassing
- Verwachte firewallregel of NAT-regel, indien bekend
- Verwacht resultaat: toegestaan, geblokkeerd, DNAT, SNAT, VPN, webbeleid of IPS
Voor een webtest zou de afbakening er bijvoorbeeld zo uit kunnen zien:
| Veld | Voorbeeld |
|---|---|
| Source IP | 172.16.10.25 |
| Destination | 93.184.216.34 |
| Protocol | TCP |
| Destination Port | 443 |
| Verwachte richting | LAN naar WAN |
In de praktijk moet je altijd slechts één testgeval tegelijk reproduceren. Meerdere parallelle wijzigingen aan firewallregel, NAT, routing en clientconfiguratie maken de Capture-uitvoer moeilijk te interpreteren. Als de test een gebruikersprobleem betreft, moet je daarnaast de aangemelde gebruiker, het betrokken apparaat en het exacte tijdstip noteren.
Capture Filter configureren
Via Configure stel je een zo nauw mogelijk filter in.
Typische filters:
- Source IP van de client
- Destination IP van de server
- Destination Port
- Protocol TCP, UDP of ICMP
- Interface
Als je de doelserver niet kent, kun je eerst alleen op de Source IP filteren. Als daarna te veel pakketten zichtbaar zijn, verder beperken.
Sophos Firewall gebruikt hiervoor Berkeley Packet Filter Syntax, kort BPF. De Capture Filter bepaalt welke pakketten überhaupt in de Capture-buffer worden geschreven. Hij moet daarom zo goed mogelijk voor de test worden ingesteld.
Typische BPF-voorbeelden:
| Doel | BPF-voorbeeld |
|---|---|
| Bepaalde host | host 10.10.10.1 |
| Bepaalde Source IP | src host 10.10.10.1 |
| Bepaalde Destination IP | dst host 10.10.10.1 |
| Bepaald netwerk | net 10.10.10.0 |
| Bepaalde poort | port 443 |
| Bepaalde doelpoort | dst port 443 |
| Bepaalde host en poort | host 10.10.10.1 and port 443 |
| ICMP/Ping | proto ICMP |
| TCP | proto TCP |
| UDP | proto UDP |
Voor een zeer gerichte webtest kan een filter er bijvoorbeeld zo uitzien:
host 172.16.10.25 and host 93.184.216.34 and port 443
Voor een ping-test is vaak voldoende:
host 172.16.10.25 and proto ICMP
Als het filter te nauw is
Een nauw Capture Filter is belangrijk, maar het mag de fout niet verbergen. Vooral bij DNS, NAT, CDNs en retourwegen moet je bewust beslissen of je eerst breed genoeg of meteen zeer precies filtert.
Typische valkuilen:
| Situatie | Betere filterbenadering |
|---|---|
| Doel is alleen als FQDN bekend | Eerst DNS-resolutie controleren of met Source IP beginnen en daarna op de zichtbare doel-IP beperken |
| Website gebruikt CDN of meerdere IP-adressen | Niet alleen een enkele oude doel-IP gebruiken, maar de actuele testtraffic observeren |
| DNAT wordt gecontroleerd | Afhankelijk van het perspectief openbare doel-IP, interne server en poort in overweging nemen |
| SNAT of MASQ is betrokken | Source IP voor NAT en vertaalde Source op de Out interface mentaal scheiden |
| Antwoordpakketten ontbreken | Filter zo kiezen dat heen- en terugrichting zichtbaar blijven |
| Gebruikers- of toepassingsprobleem | Eerst Source IP en tijdstip nauw instellen, daarna poort, doel of Rule ID beperken |
Voor de eerste run is een filter op de Source IP vaak zinvoller dan een te precies filter met een verkeerde Destination IP. Als de relevante flow zichtbaar is, kun je in de tweede run nauwer filteren. Bij NAT-fouten moet je bovendien controleren of je net de zicht voor of na de vertaling bekijkt.
In de WebAdmin-weergave zie je na het opslaan de actieve BPF-string boven de pakketlijst. De eerste screenshot toont de filterconfiguratie, de tweede screenshot de resultatenlijst met actief filter.


⚠️ PCAP-gegevens kunnen IP-adressen, hostnamen, protocolgegevens en afhankelijk van het protocol ook gebruikersgegevens bevatten. Captures moeten alleen worden gedeeld met personen of partners die deze gegevens mogen zien.
Capture uitvoeren
Capture starten en reproduceren
- Filter instellen.
- Packet Capture via de schuifregelaar inschakelen.
- Probleem gericht reproduceren.
- Capture weer stoppen.
- Resultaten analyseren.
- Capture legen als een nieuwe test wordt gestart.
Sophos Firewall toont de status en de buffer:
| Weergave | Betekenis |
|---|---|
Trace On | Packet Capture is actief |
Trace Off | Packet Capture is uitgeschakeld |
Buffer size | Grootte van de Capture-buffer, in de Sophos-documentatie 2048 KB |
Buffer used | Huidig gebruikte buffer |
Als de buffer vol is, stopt de opname automatisch. Daarna moet je met Clear legen voordat opnieuw zinvol kan worden opgenomen. Daarom is een nauw filter belangrijk.
In de filterinstellingen kun je bovendien bepalen hoeveel bytes per pakket worden vastgelegd. Voor veel eerste analyses zijn header-informatie voldoende. Als je meer gebruikersgegevens nodig hebt, moet je meer bytes vastleggen, maar je moet wel rekening houden met privacy en buffergrootte.
Uitvoer interpreteren
Belangrijke kolommen begrijpen
Packet Capture toont veel velden. Voor de praktijk zijn deze bijzonder belangrijk:
| Veld | Betekenis |
|---|---|
| Time | Tijdstip van het pakket |
| In interface | Interface waarop het pakket binnenkwam |
| Out interface | Interface waarover het pakket uitgaat |
| Source IP | Bronadres |
| Destination IP | Doeladres |
| Packet type | Protocol of pakkettetype |
| Ports [src, dst] | Bron- en doelpoort |
| NAT ID | Passende NAT-regel |
| Rule ID | Passende firewallregel |
| Status | Pakketstatus |
| Reason | Reden voor drop of violation |
| Connection status | Status van de verbinding |
| Gateway ID | Gebruikte gateway |
| Username | Herkende gebruiker |
| IPS policy ID | Toegepaste IPS-policy |
| Application filter ID | Toegepaste Application Control-policy |
Deze velden zijn waardevol omdat ze de kloof dichten tussen “regel lijkt correct” en “traffic loopt echt zo”.
Via Show additional properties of de detailweergave zie je afhankelijk van de versie meer informatie zoals Connection ID, Web filter ID, Application ID, Web category ID, Gateway ID, Username of andere Policy-IDs. Deze details helpen als een pakket niet alleen door een firewallregel, maar ook door Web, Application Control, IPS of andere modules wordt verwerkt.
Status correct interpreteren
| Status | Betekenis |
|---|---|
| Incoming | Pakket is op een interface ontvangen |
| Forwarded | Pakket is doorgestuurd |
| Consumed | Pakket is voor de firewall zelf bestemd |
| Generated | Pakket is door de firewall gegenereerd |
| Violation | Pakket is vanwege een policy-overtreding verworpen |
Als je alleen Incoming ziet en geen Forwarded, blijft het pakket waarschijnlijk op de firewall hangen. Dan moet je firewallregel, NAT, routing en beveiligingsfuncties controleren.
Als Forwarded zichtbaar is, maar er komt geen antwoord terug, ligt het probleem vaak bij het doelsysteem, retourweg, NAT of een tegenpartij.
Bij een succesvolle ping zie je doorgaans pakketten in beide richtingen. Als Windows vier pings verstuurt, zie je meerdere ICMP Echo Requests van de client naar het doel en meerdere Echo Replies terug. Ontbreken de Replies, controleer dan retourroute, doelsysteem, lokale firewall van het doelsysteem, NAT of een tegenpartij. Ontbreken al de Requests, controleer dan client, gateway, VLAN, switch-poort of de traffic de Sophos Firewall überhaupt bereikt.
Consumed en Generated correct lezen
Consumed en Generated worden gemakkelijk verkeerd geïnterpreteerd. Deze statussen betekenen niet automatisch dat er een normale firewallregel ontbreekt.
| Status | Typisch geval | Wat je daarna moet controleren |
|---|---|---|
Consumed | Pakket is voor de Sophos Firewall zelf bestemd | Device Access, Local service ACL, dienstconfiguratie, admin- of gebruikersrechten |
Generated | Pakket is door de Sophos Firewall zelf gegenereerd | Systeemdienst, DNS, NTP, VPN, update, gateway monitoring of antwoord van de firewall |
Voorbeelden van Consumed zijn toegang tot WebAdmin, User Portal, VPN Portal, SSH, DNS, SNMP, IPsec of SSL VPN van de firewall zelf. Dergelijke traffic wordt niet zoals normale doorgangstraffic behandeld door een LAN-to-WAN- of WAN-to-DMZ-regel. Als een pakket in de Capture Consumed toont, moet je daarom eerst verduidelijken of de client echt de firewall zelf wilde bereiken.
Voor deze gevallen zijn Administration > Device access en Local Service ACL belangrijker dan een normale firewallregel. De beveiliging van deze toegang is beschreven in Sophos Firewall toegang beveiligen: Device Access correct configureren.
Display Filter gebruiken
De Capture Filter beperkt welke pakketten worden vastgelegd. De Display filter filtert daarentegen alleen de al vastgelegde weergave. Dit is handig als je de Capture opzettelijk iets breder hebt gestart en daarna alleen bepaalde pakketten wilt weergeven.
In de Display Filter kun je onder andere op deze velden filteren:
- Interfacenaam
- Ethernet type, bijvoorbeeld IPv4, IPv6 of ARP
- Packet type
- Source IP en Source port
- Destination IP en Destination port
- Reason
- Status
- Rule ID
- User
- Connection ID
Voor het oplossen van problemen zijn vooral Status, Reason, Rule ID, Source IP, Destination IP en Destination port nuttig. Als er veel pakketten in de Capture staan, kun je hiermee snel op het relevante deel reduceren zonder de test meteen opnieuw te moeten starten.
NAT in Packet Capture lezen
Bij NAT moet je er rekening mee houden dat een pakket voor en na NAT er anders uitziet. Packet Capture kan NAT ID, Rule ID en de gewijzigde adressen zichtbaar maken.
Bij NAT-problemen moet je controleren:
- Zie je het pakket met het originele adres?
- Zie je het pakket na de vertaling?
- Wordt de verwachte NAT ID weergegeven?
- Gaat het pakket over de verwachte Out interface?
- Komt er een antwoord terug?
Voor DNAT geldt bovendien: De firewallregel gebruikt de doelzone na NAT, maar de doel-IP voor NAT. Dit lijkt in eerste instantie ongewoon.
Meer hierover: NAT op Sophos Firewall begrijpen: SNAT, DNAT, MASQ, PAT.
Packet Capture en Log Viewer combineren
De beste procedure is:
- Log Viewer openen.
- Packet Capture met nauw filter starten.
- Test reproduceren.
- In Packet Capture controleren of pakketten aankomen en doorgaan.
- In Log Viewer controleren welke regel of welk module heeft beslist.
- Indien nodig naar het juiste logbestand schakelen.
De Log Viewer toont bijvoorbeeld firewall, web, SSL/TLS-inspectie, IPS of Application Control Events. Packet Capture toont daarentegen de pakketstroom op interface-niveau.
Vooral bij ping of eenvoudige TCP-verbindingen is de combinatie belangrijk. De Log Viewer kan alleen tonen dat een verbinding is toegestaan of geblokkeerd. Packet Capture toont daarnaast of de antwoordpakketten terugkomen, of NAT van toepassing is, of de juiste Out interface wordt gebruikt en of de retourweg klopt.
Typische analysegevallen
Client bereikt internet niet: Capture instellen op Source IP en TCP 443. Als er geen pakket aankomt, client, VLAN, gateway of switch controleren. Als pakket binnenkomt maar niet uitgaat, firewallregel, NAT of routing controleren.
DNAT werkt niet: Capture instellen op openbare doel-IP en externe poort. Als er geen pakket aankomt, provider-router, poortdoorschakeling, cloud security group of WAN controleren. Als pakket aankomt maar niet naar de interne server gaat, DNAT-regel en firewallregel controleren.
VPN-verkeer werkt niet: Capture instellen op tunnel-interface, XFRM-interface of relevante bron-/doelnetwerken. Daarnaast strongswan.log, charon.log of xfrmi.log controleren.
Webfilter blokkeert onverwacht: In Packet Capture zie je meestal alleen de pakketstroom. De beslissing zelf beter in Log Viewer onder Web, Application Control of SSL/TLS-inspectie controleren.
Kleine tests werken, grote overdrachten hangen: Capture instellen op de betrokken client en het doel en letten op retransmits, ontbrekende antwoorden of opvallende pakketgroottes. Als ping, login of kleine HTTP-verzoeken werken, maar grotere downloads, RDP, VoIP of VPN-toepassingen hangen, moet je daarnaast MTU, MSS, PPPoE, VPN-overhead en fragmentatie controleren. De procedure staat in Sophos Firewall MTU en MSS bij VPN-problemen controleren.
Typische misinterpretaties
Packet Capture toont veel, maar niet altijd wat je eerst verwacht. Sommige misinterpretaties komen in supportgevallen bijzonder vaak voor.
| Observatie | Niet meteen concluderen | Beter controleren |
|---|---|---|
Pakket staat op Incoming | Firewall is de schuldige | Is er daarna Forwarded, Consumed, Violation of een passende regelbeslissing? |
Pakket is Forwarded | Verbinding moet werken | Antwoordpakket, retourroute, doelsysteem en lokale firewall van het doelsysteem controleren |
| NAT ID is leeg | NAT is verkeerd | Niet alle traffic heeft NAT nodig; eerst verwacht NAT-ontwerp controleren |
| Rule ID is onverwacht | De gewenste regel is defect | Regelvolgorde, zones, objecten, gebruikersmatching en Rule Group controleren |
| Geen pakketten zichtbaar | Firewall blokkeert | Filter, interface, client-gateway, VLAN, switch-poort en voorgeschakelde apparaten controleren |
| Alleen Requests zichtbaar | Uitgangsregel is niet voldoende | Retourweg, NAT, tegenpartij, doel-firewall en asymmetrische routing controleren |
Als de Packet Capture een onverwachte Rule ID toont, moet je niet meteen meerdere regels wijzigen. Beter is eerst een vergelijking met de Log Viewer en de regelpositie. Voor systematisch matching past Sophos Firewall Regel grijpt niet: Oorzaken controleren.
Grenzen, privacy en delen
Privacy en delen van Captures
Packet-Capture-gegevens zijn operationele gegevens. Ook al zijn vaak alleen headers zichtbaar, ze kunnen interne IP-adressen, openbare doelen, gebruikersnamen, hostnamen, poorten, protocollen en communicatieverbanden onthullen. Bij ongecodeerde protocollen kunnen bovendien gebruikersgegevens zichtbaar zijn.
Voor het delen moet je daarom controleren:
- Bevat de opname klantnamen, interne hostnamen of openbare IP-adressen?
- Zijn gebruikers, systemen of toepassingen herkenbaar?
- Is de ontvanger bevoegd om deze informatie te zien?
- Is een screenshot van de relevante regels voldoende of is echt een PCAP-bestand nodig?
- Moet de opname vooraf worden ingekort of geanonimiseerd?
Voor supportgevallen is vaak een gerichte tcpdump-opname met een nauwkeurige filter beter dan een brede WebAdmin-capture. Als daarnaast logbestanden nodig zijn, helpt Sophos Firewall Logs voor support en analyse veiligstellen.
Wanneer tcpdump beter is
De WebAdmin Packet Capture is ideaal voor snelle analyses direct in de browser. Je ziet snel of pakketten aankomen, worden doorgestuurd, geconsumeerd, gegenereerd of verworpen. Voor een eerste afbakening is dit meestal de juiste start.
tcpdump is beter wanneer de opname niet alleen als schermweergave nodig is, maar als analyseerbaar bestand of als langere technische spoor.
| Situatie | Beter gereedschap | Waarom |
|---|---|---|
| Korte test met zichtbare Rule ID, NAT ID en status | WebAdmin Packet Capture | direct in WebAdmin, goed te combineren met Log Viewer |
| PCAP-bestand voor Wireshark, Sophos Support of externe analyse | tcpdump | schrijft een bestand dat later goed kan worden onderzocht |
| Sporadische fout die niet in enkele seconden reproduceerbaar is | tcpdump | kan gericht langer draaien, maar moet wel worden beperkt |
| Zeer nauwkeurige filters op hosts, poorten, protocollen of interface-vergelijking | tcpdump | CLI-BPF-filters zijn flexibeler en reproduceerbaarder |
| Onzekere policy- of NAT-beslissing | WebAdmin Packet Capture plus Log Viewer | tcpdump toont geen Sophos-specifieke Rule ID of NAT ID |
Het belangrijkste verschil: tcpdump toont pakketten, maar geen Sophos-specifieke beslissing. Als je moet weten welke firewallregel, NAT-regel, webbeleid, IPS-policy of SSL/TLS-inspectieregel betrokken was, heb je nog steeds Log Viewer, WebAdmin Packet Capture of het juiste logbestand nodig.
Voor tcpdump moeten SSH of Advanced Shell bewust worden vrijgegeven. De opname moet nauwkeurig worden gefilterd, tijdig worden beperkt en na de analyse weer worden verwijderd. Een brede PCAP op een productieve firewall kan snel gevoelige gegevens en onnodig veel achtergrondverkeer bevatten.
Meer hierover: Sophos Firewall tcpdump: Pakketten opnemen via CLI.
Checklist
- Testgeval met Source, Destination, Port, Protocol en tijdstip noteren.
- Verwachte firewallregel en NAT-regel kennen, indien mogelijk.
- Capture Filter nauw instellen.
- Bij DNS, NAT of CDN-doelen controleren of de filter heen- en terugrichting echt vastlegt.
- Slechts één testgeval tegelijk reproduceren.
- Packet Capture na de test weer stoppen.
Incoming,Forwarded,Consumed,GeneratedenViolationbewust onderscheiden.- Rule ID en NAT ID met Log Viewer vergelijken.
- Bij ontbrekend antwoord retourweg, NAT, doelsysteem en tegenpartij controleren.
- Bij hangende grote overdrachten MTU/MSS, fragmentatie en VPN-overhead meerekenen.
- Captures voor het delen op gevoelige gegevens controleren.
- Voor langere opnames of PCAP-bestanden
tcpdumpgebruiken.
FAQ
Wanneer moet je Packet Capture op Sophos Firewall gebruiken?
Wat is het verschil tussen Capture Filter en Display Filter?
Waarom zie je in Packet Capture alleen Incoming, maar geen Forwarded?
Wat betekent Consumed in Packet Capture?
Consumed betekent dat het pakket voor de Sophos Firewall zelf bestemd is. Dan moet je Device Access, Local Service ACL en de betrokken firewall-dienst controleren, niet alleen normale firewallregels.Wanneer is tcpdump beter dan Packet Capture in WebAdmin?
tcpdump is beter voor langere opnames, PCAP-bestanden, supportgevallen, zeer nauwkeurige CLI-filters en analyses die later in Wireshark of met Sophos Support worden geëvalueerd.