Naar de inhoud
Avanet

Sophos Firewall CLI Probleemoplossing: belangrijke opdrachten

Bij het oplossen van problemen met de Sophos Firewall is de Log Viewer vaak voldoende voor initiële isolatie. Zodra een dienst niet soepel start, VPN-verbindingen instabiel zijn, individuele pakketten niet aankomen of ondersteuning gedetailleerde gegevens nodig heeft, wordt de CLI belangrijk.

Dit overzicht toont de belangrijkste opdrachten voor het dagelijks leven: waar u ze moet uitvoeren, wat ze laten zien en wanneer u beter kunt overschakelen naar een gespecialiseerd artikel. Voor veilige toegang via SSH moet eerst Verbind Sophos Firewall via SSH worden gecontroleerd. Openbare sleutels, hostsleutelcontroles en strikte goedkeuring voor toegang tot apparaten zijn belangrijker dan snel inloggen, waar dan ook.

⚠️ Belangrijk: CLI- en Advanced Shell-opdrachten mogen alleen worden uitgevoerd vanaf vertrouwde beheerdersnetwerken en met een duidelijk doel. Met name debuggen, tcpdump, bestandsbewerkingen en serviceopdrachten kunnen de opslagruimte, prestaties of actieve verbindingen beïnvloeden.

Eerst WebAdmin, dan CLI

De CLI is niet altijd de snelste manier om aan de slag te gaan. Als het gaat om het matchen van regels, NAT of individuele verbindingen, bieden Log Viewer, Policy Test en Packet Capture in de WebAdmin vaak sneller een schoon resultaat.

Goede introducties:

  • Welke firewallregel is van toepassing? Gebruik eerst Log Viewer, Policy Test en Packet Capture. CLI wordt pas nodig als de Log Viewer te weinig details toont of als er live logs nodig zijn.
  • Komen er pakketten aan op de firewall? Gebruik eerst Packet Capture in WebAdmin. CLI is handig wanneer een strak opname- of PCAP-bestand nodig is voor ondersteuning.
  • Heeft een service een probleem? Controleer eerst het dashboard, Log Viewer en servicelogboeken. CLI wordt belangrijk wanneer de servicestatus, foutopsporing of logbestanden rechtstreeks moeten worden gecontroleerd.
  • Is er iets veranderd? Controleer eerst Audit Trail Logs. CLI helpt dan bij het vergelijken van een configuratieverschil met logs of backups.

Het doel is niet om zo snel mogelijk in de Advanced Shell te springen. Het is beter om een ​​begrijpelijk proces te hebben: controleer eerst zichtbare gebeurtenissen en open vervolgens het juiste logbestand of leg het vast.

Documenteer CLI-bevindingen op een bruikbare manier

CLI-uitvoer is alleen nuttig als later duidelijk is bij welke test deze hoort. Individueel gekopieerde foutmeldingen zonder tijdvenster, IP-adressen of aangetaste functies leiden vaak tot vragen en dubbele analyses.

Een korte notitie per toets is meestal voldoende:

  • Tijdvenster: Begin, einde en tijdzone van de test.
  • Testflow: Bron IP, Bestemming IP of FQDN, Poort, Gebruiker of VPN-peer.
  • Hulpmiddel: Device Console, Advanced Shell, Log Viewer of Packet Capture.
  • Opdracht of filter: opdracht uitgevoerd, zoekterm grep of opnamefilter gebruikt.
  • Resultaat: Hit, foutmelding, ontbrekende loginvoer, pakket zichtbaar of pakket niet zichtbaar.
  • Volgende conclusie: bijvoorbeeld regelprobleem, DNS-probleem, retourpad, servicefout of ondersteuningsaanvraag.

Controleer voordat u deze deelt met Support, Avanet of externe partners of de uitvoer gevoelige gegevens bevat: openbare IP-adressen, interne hostnamen, gebruikersnamen, VPN-parameters, serienummers, tokens, e-mailadressen of klant-ID’s. Voor een technische analyse hoeven gegevens niet willekeurig wijdverspreid te worden; Wat belangrijk is, is het kleinste gedeelte dat de bevinding bewijst.

Vóór het eerste commando

Het oplossen van CLI-problemen wordt veel betrouwbaarder als het frame wordt gerepareerd vóór het eerste commando. Anders ontstaan ​​er snel logfragmenten zonder enige verwijzing naar tijd, opnames die te breed zijn of debuglogs die niemand later duidelijk kan toewijzen. Voordat u productief CLI-testen uitvoert, moet u rekening houden met het volgende:

  • Probleemtijd: Logboeken kunnen specifiek voor het testvenster worden doorzocht.
  • Bron IP, Bestemming IP en Poort: grep, tcpdump en Packet Capture blijven smal en leesbaar.
  • Betrokken gebruiker of peer: Authenticatie, VPN en gebruikersmatching zijn beter toe te schrijven.
  • Verwachte module: Je zoekt eerst in het juiste logbestand in plaats van in alle logs.
  • Geplande actie: Debuggen, servicecontrole of vastleggen worden niet per ongeluk permanent.
  • Rollback- of beëindigingscriteria: De test wordt beëindigd in geval van belasting, vol geheugen of bijwerkingen.
  • Huidige back-up voor wijzigingswerkzaamheden: Er kan op een schonere manier een back-up worden gemaakt van serviceherstarts of configuratiewijzigingen. De eerste stap zou het lezen moeten zijn, indien mogelijk: controleer Log Viewer, bekijk het juiste logbestand, lees service -S of start een close capture. Opnieuw opstarten, debug-modus en uitgebreide opnames horen alleen thuis in een bewust testvenster achteraf.

Voor HA-clusters moet ook duidelijk zijn welk apparaat momenteel actief is. Logs, debuggen en captures moeten worden gecontroleerd op het knooppunt waar het betreffende verkeer daadwerkelijk doorheen loopt.

Device Console of Advanced Shell?

Sophos Firewall heeft twee verschillende consolegebieden. Veel fouten treden op omdat een opdracht in het verkeerde gebied wordt ingevoerd.

De gebieden hebben verschillende taken:

  • Device Console: Sophos CLI voor netwerk-, systeem- en diagnostische opdrachten. Typische opdrachten zijn ping, dnslookup, traceroute, tcpdump, drop-packet-capture en show.
  • Advanced Shell: Linux-achtige shell voor bestanden, logs, processen en servicecontroles. Typische opdrachten zijn cd /log, tail -f, grep, less, df -kh, service -S en conntrack.

Na het inloggen via SSH toont de firewall eerst het consolemenu. Voor de Device Console kiest u doorgaans voor 4. Device Console. Gebruik voor de Advanced Shell 5. Device Management > Advanced Shell.

De officiële Sophos CLI-help ondersteunt Tab en ? voor syntaxiscontrole. Dit is handig in de Device Console omdat niet elke opdracht hetzelfde is gestructureerd.

Vooral in de Device Console mogen opdrachten niet half geraden worden uitgevoerd. Sophos wijst erop dat onvolledige opdrachten neveneffecten kunnen hebben. Toon daarom eerst de syntaxis en voer daarna bewust de volledige opdracht uit.

Een speciale noodopdracht is system appliance_access enable. Deze overschrijft de Device Access-configuratie en geeft toegang tot alle lokale firewallservices, inclusief legacy-services zoals Telnet. Belangrijk: zolang deze modus actief is, stuurt de firewall geen uitgaand verkeer meer naar internet door. Dit is geen normale troubleshootingstap, maar alleen bedoeld voor korte noodsituaties. Zodra de toegang is hersteld, moet de status worden teruggezet:

system appliance_access disable

Als een commando niet wordt herkend, controleer dan eerst het consolegebied. Een verkeerd bereik is waarschijnlijker dan een onmiddellijk verbroken commando.

Controleer logboeken in de Advanced Shell

De belangrijkste logbestanden bevinden zich onder /log. Voor een eerste oriëntatie gaat u naar deze map en vermeldt u de bestanden.

cd /log
ls -lah

Sophos Firewall Advanced Shell met ls -lah in de logmap
In de Advanced Shell kunnen logbestanden onder /log direct worden gecontroleerd.
Handige basiscommando’s:

  • Tracklog live: tail -f /log/strongswan.log. Goed voor reproduceerbare VPN-fouten.
  • Logbestand lezen: less /log/ips.log. Binnen less kunt u zoeken met /Suchbegriff.
  • Controleer op fouten: grep -i "error" /log/ips.log. -i is hoofdlettergevoelig.
  • ** Hit met regelnummer: ** grep -n "192.0.2.10" /log/firewall_rule.log. Handig voor langere bestanden.
  • Laatste regels weergeven: tail -n 100 /log/syslog.log. Snel overzicht zonder live-modus.

Welk logbestand bij welke module hoort, wordt samengevat in Sophos Firewall Probleemoplossing: Services en logboeken.

Bij live logs moet je de testperiode kort houden en de tijd noteren. Dit is vooral belangrijk als er later een logarchief aan Sophos Support of Avanet wordt doorgegeven.

Device Console voor snelle netwerkcontroles

De Device Console is geschikt voor snelle tests vanuit firewall-perspectief. Hiermee kunt u controleren of DNS, routing of toegankelijkheid in principe werken.

Snelle controles:

  • Reach host: ping 192.0.2.10 count 4 controleert de ICMP-bereikbaarheid.
  • Check DNS: dnslookup example.com controleert de naamresolutie vanuit het perspectief van de firewall.
  • Controleer route: traceroute 192.0.2.10 toont het pad naar de bestemming.
  • Bekijk interfacestatus: show interfaces toont interface-informatie.
  • Start Drop Capture: drop-packet-capture 'host 192.0.2.10' toont pakketten die door firewallregels zijn verwijderd.
  • Start pakketvastlegging: tcpdump 'host 192.0.2.10 and port 443' controleert of pakketten zichtbaar zijn op de firewall. drop-packet-capture is vooral handig als het onduidelijk is of de firewall actief pakketten laat vallen. Het vervangt echter niet de applicatieanalyse. Als een server reageert maar de applicatie nog steeds niet werkt, heeft deze ook Log Viewer, NAT check, Packet Capture of applicatielogboeken nodig.

Voor langere pakketopnamen en PCAP-bestanden is het afzonderlijke artikel Sophos Firewall: Logboeken verzamelen met TCPDump voor analyse geschikter. U moet ook plannen hoe groot het bestand mag zijn, waar het zal worden opgeslagen en hoe het veilig zal worden overgedragen.

Controleer verbindingen en pakketstroom in de Advanced Shell

Als Log Viewer en Device Console geen duidelijk antwoord bieden, zullen enkele geavanceerde shell-opdrachten u helpen de pakketstroom te begrijpen.

Contrack

conntrack toont actieve verbindingen waarvan het stateful firewallpad op de hoogte is. Dit is handig als u wilt controleren of een verbinding überhaupt wordt weergegeven in het bijhouden van verbindingen.

conntrack -L | grep "192.0.2.10"

Als een item ontbreekt, kan dit wijzen op routering, NAT, onjuiste bron, ontbrekende firewallregel of testen op het verkeerde pad. Als er een vermelding bestaat, maar de applicatie werkt niet, moet er extra worden gecontroleerd of er responspakketten worden geretourneerd en of NAT, het beleid of de applicatie correct werken.

tcpdump in de Advanced Shell

Voor snelle live tests kan de tcpdump ook worden gebruikt in de Advanced Shell.

tcpdump -i any -nn host 192.0.2.10

Voor productieve analyses moet het filter zo smal mogelijk zijn. Brede opnames zoals tcpdump -i any zonder host, poort of telling produceren snel veel output en zijn onpraktisch op drukke firewalls.

Een veilige start is een korte opname met host-, poort- en pakketlimiet:

tcpdump -i any -nn -c 50 host 192.0.2.10 and port 443

Als er meer gegevens nodig zijn, moet de opslagruimte vooraf worden gecontroleerd en moet bewust een PCAP-opslaglocatie worden gekozen.

Controleer opslagruimte en systeemgezondheid

Vóór het debuggen van logboekregistratie, grote logarchieven of langere pakketopnamen moet de vrije opslagruimte worden gecontroleerd.

df -kh
df -h /var

Andere snelle controles:

uptime
top
service -S
service -S | grep strongswan

service -S toont de status van veel services. Individuele servicenamen spreken niet altijd voor zich. Vergelijk daarom de service met het betreffende logbestand voordat u opnieuw opstarten of debuggen activeert.

Als de opslagruimte al beperkt is, mogen debug-logboekregistratie en lange pakketopname niet worden gestart. Maak eerst duidelijk van welke logboeken of rapporten veilig een back-up kan worden gemaakt en dat deze kan worden opgeschoond.

Activeer specifiek het foutopsporingslogboek

Foutopsporingsregistratie kan helpen bij complexe fouten, maar zou slechts korte tijd actief moeten zijn en alleen voor de betreffende service. Debug genereert aanzienlijk meer loggegevens en kan opslagruimte in beslag nemen als het langere tijd actief is.

Voorbeeld voor IPS-foutopsporing:

service ips:debug -ds nosync

Reproduceer het probleem, noteer het betreffende tijdstip en deactiveer vervolgens debuggen opnieuw:

service ips:debug -ds nosync off

Sophos Firewall Advanced Shell met debug-modus voor een service
Debug-logboekregistratie mag alleen specifiek en voor een beperkte tijd worden geactiveerd.
Voor het opnieuw opstarten van services en de classificatie van services is Sophos Firewall restart Services ook geschikt. Voor ondersteuningsgevallen moet de exacte periode van het foutopsporingslogboek worden gedocumenteerd.

Voordat u een service opnieuw start, moet u controleren welke functie wordt beïnvloed en of er momenteel productief verkeer doorheen loopt. Het herstarten van VPN-, IPS-, web- of authenticatieservices kan invloed hebben op actieve sessies of gebruikersaanmeldingen.

Logboeken veilig bezorgen

Bij complexe gevallen zijn individuele logfragmenten vaak niet voldoende. Voor Sophos Support, Avanet of externe analyse is een compleet logarchief meestal nuttiger. In plaats van FTP-toegangsgegevens in commando’s te schrijven, moet u logs op een veilige en traceerbare manier, bijvoorbeeld via scp, naar uw eigen server of via een supportportal overbrengen. De juiste instructies zijn beschikbaar op Sophos Firewall Back-up van logboeken voor ondersteuning en analyse.

Logbestanden kunnen gevoelige informatie bevatten: interne IP-adressen, openbare IP’s, hostnamen, gebruikersnamen, VPN-parameters en foutmeldingen. Voordat u deze deelt, moet duidelijk zijn wie de gegevens ontvangt en hoe lang deze worden bewaard.

Typische fouten bij het oplossen van problemen met de CLI

  • Opdracht in verkeerd consolegebied: Device Console en Advanced Shell ondersteunen verschillende syntaxis. Controleer eerst het gebied.
  • Debug actief laten na analyse: Logboeken groeien onnodig en kunnen opslagruimte in beslag nemen. Debug onmiddellijk opnieuw.
  • Brede tcpdump zonder filter: Veel output, hoge belasting en gegevens die moeilijk te evalueren zijn. Beperk host, poort, interface of aantal.
  • FTP-inloggegevens in de shell-geschiedenis: Inloggegevens kunnen in logs, schermafbeeldingen of geschiedenis terechtkomen. Gebruik beveiligde overdracht en tijdelijke inloggegevens.
  • Controleer slechts één logbestand: Veel problemen hebben betrekking op meerdere modules. Combineer Log Viewer, bijpassende servicelogboeken en Packet Capture.
  • Documenteer de tijd niet: Ondersteuning moet onnodig grote loggebieden doorzoeken. Noteer de betrokken tijd, testactie en IP’s.
  • Niet opruimen na het testen: Foutopsporing, tijdelijke bestanden of brede toegang blijven actief. Schakel debuggen uit, controleer bestanden en verwijder tijdelijke SSH-shares.

Controlelijst

  • SSH-toegang alleen toegestaan vanaf vertrouwde beheerdersnetwerken.
  • SSH-vingerafdruk en admin-toegang gecontroleerd vóór analyse.
  • Juiste consolereeks geselecteerd: Device Console of Advanced Shell.
  • Probleemtijd, bron IP, bestemming IP, poort en gebruiker gedocumenteerd.
  • CLI-bevindingen gedocumenteerd met tijdvenster, opdracht, filter en resultaat.
  • Lees eerst gebruikte opdrachten voordat debuggen, herstart van de service of langere opnames werden gestart.
  • Log Viewer eerst gecontroleerd.
  • Overeenkomend logbestand geïdentificeerd onder /log.
  • tail, grep of less gebruikt met een beperkte zoekterm.
  • Specifiek gebruikt voor netwerkproblemen ping, dnslookup, traceroute, drop-packet-capture of tcpdump.
  • Debug slechts kort geactiveerd en weer gedeactiveerd.
  • Schijfruimte gecontroleerd vóór debuggen of PCAP.
  • Veilig logarchief overbrengen en tijdelijke bestanden verwijderen.
  • Tijdelijke apparaattoegang of SSH-uitzonderingen verwijderd na ondersteuningsaanvraag.

Veelgestelde vragen

Welke Sophos Firewall CLI-opdrachten zijn het belangrijkst om mee te beginnen?

Voor de Device Console zijn de belangrijkste basisprincipes ping, dnslookup, traceroute, tcpdump, drop-packet-capture en show. In de Advanced Shell zijn tail, grep, less, df, service -S, conntrack en tcpdump bijzonder nuttig.

Wanneer is de Log Viewer voldoende en wanneer is de CLI nodig?

De Log Viewer is voldoende voor veel regel-, NAT-, web- en VPN-evenementen. De CLI wordt belangrijk wanneer u tracklogbestanden live moet bekijken, foutopsporing moet inschakelen, de pakketstroom moet controleren, de servicestatus moet bekijken of back-uplogboeken moet maken voor ondersteuning.

Moet u de foutopsporingsregistratie permanent actief laten?

Nee. Debug-logboekregistratie is bedoeld voor korte analysevensters. Nadat het probleem is gereproduceerd, moet Debug opnieuw worden uitgeschakeld.

Waar moet u op letten voordat u problemen met de CLI oplost?

Minimaal probleemtijd, bron IP, bestemming IP, poort, getroffen gebruiker of peer, en verwachte functionaliteit. Hierdoor blijven grep, tail, Packet Capture en latere ondersteuningsanalyses veel gerichter.

Is tcpdump op de Sophos Firewall gevaarlijk?

Met smalle filtering is tcpdump een zeer nuttig hulpmiddel. Zonder filter kan het teveel output produceren op productiefirewalls en de analyse bemoeilijken. Bij langere opnames moet je bewust werken met host, port, interface, count en PCAP file.