Sophos Firewall regel matcht niet: oorzaken controleren
Wanneer een firewall rule niet matcht, is de firewall zelden “kapot”. Meestal klopt een voorwaarde niet, staat er een algemenere regel boven, verandert NAT de kijk op de traffic, is User Matching niet vervuld of is logging niet netjes geactiveerd.
Deze checklist helpt om systematisch te werken in plaats van willekeurig regels aan te passen.
Eerste principe: de eerste matchende regel wint
Sophos Firewall verwerkt firewall rules van boven naar beneden. Zodra een regel matcht, worden de regels eronder niet meer gecontroleerd. Hetzelfde basisprincipe geldt ook voor NAT rules.
Belangrijk:
- De positie in de lijst bepaalt de evaluatie.
- De Rule ID is alleen een referentie en zegt niets over de actuele volgorde.
- Rule groups helpen bij het overzicht, maar zijn geen eigen matchlogica.
- Een algemene regel erboven kan een specifieke regel eronder volledig “inslikken”.
Als een regel niet matcht, controleert men daarom eerst de positie.
Regelteller resetten
Bij onduidelijke hits helpt het om de regelteller te resetten.
- Rules and policies > Firewall rules openen.
- De betreffende regel zoeken.
- Het drie-punten-menu openen.
- Reset data transfer count selecteren.
- De traffic opnieuw reproduceren.
- Controleren of de teller stijgt.
Als de teller niet stijgt, matcht de regel niet. Als de teller stijgt, maar de applicatie nog steeds niet werkt, ligt het probleem eerder bij Security Profiles, NAT, routing, retourpad of doelsysteem.
Matching-velden controleren
Een firewall rule matcht alleen wanneer alle relevante criteria kloppen.
| Veld | Typische fouten |
|---|---|
| Source zones | Verkeerde zone, VLAN ligt in andere zone, VPN-traffic komt uit VPN |
| Source networks and devices | Verkeerd object, verkeerde IP, host group onvolledig |
| Destination zones | Verkeerde doelzone, vooral bij DNAT of VPN |
| Destination networks | Pre-NAT- en post-NAT-weergave verwisseld |
| Services | Poort ontbreekt, TCP/UDP verwisseld, applicatie gebruikt extra poorten |
| Users or groups | Gebruiker niet geauthenticeerd of verkeerde groep |
| Schedule | Schedule past op dit moment niet |
| Exclusions | Traffic wordt uit de regel uitgesloten en verder naar beneden verwerkt |
Bij webtraffic moet men ook controleren of QUIC actief is. Als browsers traffic via UDP 443 sturen, werken sommige verwachtingen rond webfiltering en scanning anders dan bij klassiek HTTPS via TCP.
Meer informatie: Sophos Firewall en het QUIC-protocol.
DNAT correct lezen
Bij DNAT is de weergave in firewall rules bijzonder belangrijk. Als vuistregel:
Firewall rules voor DNAT-traffic gebruiken de destination zone na NAT, maar de destination IP vóór NAT.
Voorbeeld:
- Een externe client verbindt met de WAN-IP van de firewall.
- NAT vertaalt naar een interne server in de
DMZ. - De firewall rule gebruikt als Destination zone de zone van de interne server, bijvoorbeeld
DMZ. - Destination network blijft de publieke IP of het WAN-object dat de client heeft aangesproken.
Als deze combinatie verkeerd is, kan de NAT rule correct lijken, maar matcht de firewall rule toch niet.
Meer informatie: Server via DNAT op Sophos Firewall publiceren.
NAT rules controleren
NAT staat geen traffic toe. NAT vertaalt alleen. Er is altijd ook een passende firewall rule nodig.
Onder Rules and policies > NAT rules controleert men:
- Staat de juiste NAT rule boven algemenere NAT rules?
- Is de regel actief?
- Kloppen Original source, destination en service?
- Kloppen Translated source, destination en service?
- Wordt
MASQof een vast SNAT-IP gebruikt? - Is er een Linked NAT Rule die onverwacht matcht?
- Is er een generieke SNAT-regel die vóór een specifiekere regel matcht?
Voor eenvoudige omgevingen adviseert Sophos meestal zelfstandige NAT rules in plaats van per firewall rule een Linked NAT Rule aan te maken.
Meer informatie: NAT op Sophos Firewall begrijpen: SNAT, DNAT, MASQ, PAT.
Routing en SD-WAN controleren
Als de regel matcht, maar de verbinding niet werkt, kan routing het probleem zijn.
Daarbij controleert men:
- Is er een passende default route?
- Is er een statische route?
- Matcht er een SD-WAN route?
- Is de gateway actief?
- Zijn er retourroutes op het doelsysteem of in het externe netwerk?
- Is het retourpad symmetrisch?
- Gaat traffic via VPN, MPLS of een andere interface dan verwacht?
Belangrijk: de Policy tester geeft SD-WAN-routing niet volledig weer. Hij is erg nuttig voor firewall-, SSL/TLS- en web policy-beslissingen, maar vervangt geen echte pakketflow-test.
Meer informatie: Routingprioriteit op Sophos Firewall wijzigen.
Logging activeren
Zonder logs wordt troubleshooting lastig. Men controleert twee plaatsen:
- In de firewall rule moet Log firewall traffic actief zijn.
- Onder System services > Log settings moet het juiste logtype lokaal, voor Sophos Central of voor syslog actief zijn.
De Log viewer toont firewall-sessies doorgaans wanneer de firewall een verbinding beëindigt en een Destroy-event ontvangt. Als een internetverbinding simpelweg wegvalt, verschijnt mogelijk niet elke sessie zoals verwacht.
De Log Viewer opent men rechtsboven in de WebAdmin-console. Zinvolle filters zijn:
- Source IP
- Destination IP
- Poort of service
- Rule ID
- Rule name
- Action
- User
- NAT rule ID
Meer informatie: Sophos Firewall services en logbestanden begrijpen.
Packet Capture gebruiken
Als Log Viewer en regeltellers niet genoeg zijn, gebruikt men Diagnostics > Packet capture.
De belangrijkste vraag is:
| Observatie | Betekenis |
|---|---|
| Er komt geen pakket aan | Probleem ligt vóór de firewall: client, switch, VLAN, gateway, provider, Cloud Security Group |
| Pakket komt binnen, maar gaat niet naar buiten | Firewall rule, NAT, routing of security feature controleren |
| Pakket gaat naar buiten, maar er komt geen antwoord terug | Retourroute, doelsysteem, NAT of externe blokkade controleren |
Pakket wordt met Violation getoond | Policy of security feature blokkeert |
| Pakket toont NAT ID en Rule ID | Regel- en NAT-hits gericht vergelijken |
Meer informatie: Packet Capture Tool in WebAdmin gebruiken.
Security Features afzonderlijk controleren
Als de regel matcht, maar de applicatie niet werkt, kan een protection profile ingrijpen:
- Web Policy
- SSL/TLS inspection rule
- Decryption Profile
- IPS Policy
- Application Control
- Malware Scan
- Zero-day protection
- Security Heartbeat
- Traffic Shaping
Voor tests moet men niet alles permanent uitschakelen. Beter is kort en gericht controleren, Log Viewer observeren en daarna de oorzaak netjes oplossen. Bij TLS Inspection helpt het artikel TLS Inspection op Sophos Firewall stapsgewijs uitrollen.
Veelvoorkomende oorzaken
| Symptoom | Waarschijnlijke oorzaak |
|---|---|
| Regelteller blijft 0 | Regelpositie, Source zone, Destination zone of Service verkeerd |
| Log toont andere regel | Algemenere regel staat erboven |
| Geen log zichtbaar | Logging niet actief of traffic bereikt firewall niet |
| DNS werkt, web niet | Service, Web Policy, TLS Inspection of QUIC controleren |
| HTTPS wordt niet gescand | Geen passende SSL/TLS inspection rule of CA niet uitgerold |
| DNAT werkt niet | Firewall rule gebruikt verkeerde Destination zone of verkeerd Destination network |
| VPN-traffic matcht niet | Zone VPN, route, tunnelinterface of XFRM-context controleren |
| Alleen sommige gebruikers getroffen | User Matching, groep, SSO, Captive Portal of Heartbeat controleren |
Praktische aanpak
- Probleem met Source IP, destination, poort, user en tijd noteren.
- Regelpositie controleren.
- Regelteller resetten.
- Test reproduceren.
- Log Viewer filteren op Source IP en Destination IP.
- NAT rule en routing controleren.
- Packet Capture met nauw filter starten.
- Security Profiles alleen gericht controleren.
- Wijziging documenteren.
Voor een gecombineerde testflow: Firewall rule testen met Log Viewer, Policy Test en Packet Capture.