Używanie przechwytywania pakietów w Sophos Firewall WebAdmin
Przechwytywanie pakietów jest jednym z najważniejszych narzędzi do rozwiązywania problemów w WebAdmin Sophos Firewall. Pokazuje, czy pakiety docierają do interfejsu, czy są przekazywane dalej, jaka reguła lub NAT-ID jest zaangażowana i czy pakiet jest odrzucany.
Log Viewer pokazuje decyzję zapory. Przechwytywanie pakietów pokazuje przepływ pakietów. Oba razem często są najszybszą drogą do znalezienia przyczyny. Jeśli chcesz przetestować konkretną regułę zapory, dodatkowo pasuje procedura w Testowanie reguły Sophos Firewall za pomocą Log Viewer, Policy tester i Packet Capture.
Ważne jest zrozumienie: Ten artykuł opisuje wersję WebAdmin przechwytywania pakietów. Jest idealna do wstępnego sprawdzenia, ponieważ bezpośrednio w przeglądarce widać, czy pakiety docierają, są przekazywane dalej lub odrzucane. Do dłuższych nagrań, bardzo dokładnych filtrów, eksportu PCAP lub przypadków wsparcia często lepiej nadaje się tcpdump przez SSH.
Wybór narzędzia
Który artykuł pasuje?
Przechwytywanie pakietów jest szczególnie przydatne, gdy rzeczywisty przepływ pakietów jest niejasny. W przypadku powiązanych pytań czasami szybsze jest inne podejście:
| Sytuacja | Lepsze podejście |
|---|---|
| Pojedyncza reguła zapory ma być zweryfikowana za pomocą Log Viewer, Policy tester i Packet Capture | Testowanie reguły Sophos Firewall za pomocą Log Viewer, Policy tester i Packet Capture |
| Reguła nie pasuje w ogóle lub pojawia się nieoczekiwane Rule ID | Sprawdzanie przyczyn niepasującej reguły Sophos Firewall |
| NAT ID, DNAT, SNAT, MASQ lub translacja adresów jest głównym tematem | Zrozumienie NAT w Sophos Firewall |
| Serwer wewnętrzny jest publikowany z internetu | Publikowanie serwera przez DNAT |
Przechwytywanie pokazuje Drop, Violation, Invalid traffic lub niejasny powód odrzucenia | Analiza odrzuconych pakietów w Sophos Firewall |
| Ruch kończy się na WebAdmin, VPN Portal, SSH, DNS, SNMP lub innym serwisie zapory | Prawidłowa konfiguracja Device Access |
| Nagranie musi trwać dłużej, niż można zapisać PCAP lub analizować w Wireshark | Przechwytywanie pakietów za pomocą tcpdump w Sophos Firewall |
| Oprócz przechwytywania pakietów potrzebne są lokalne pliki dziennika dla wsparcia | Zabezpieczanie dzienników Sophos Firewall dla wsparcia i analizy |
To rozróżnienie jest ważne: Przechwytywanie pakietów pokazuje pakiety i status na poziomie pakietów. Nie zastępuje jednak Log Viewer dla decyzji politycznych, artykułu NAT dla logiki translacji ani tcpdump, gdy potrzebny jest plik PCAP do analizy.
Kiedy przechwytywanie pakietów jest przydatne
Przechwytywanie pakietów pomaga szczególnie w pytaniach takich jak:
- Czy ruch w ogóle dociera do zapory?
- Czy ruch wychodzi na oczekiwanym interfejsie?
- Czy reguła zapory działa?
- Czy reguła NAT działa?
- Czy pakiet jest odrzucany przez politykę, IPS lub routing?
- Czy odpowiedź wraca z systemu docelowego?
- Czy używany jest inny port lub protokół niż oczekiwano?
Jeśli w Log Viewer nic nie widać, przechwytywanie pakietów jest często kolejnym krokiem. Wtedy można zobaczyć, czy problem leży przed zaporą, czy zapora przetwarza ruch.
Jeśli skupiamy się na odrzuceniach, Violation, Rule ID, NAT ID lub odrzuconych pakietach, dodatkowo pasuje Analiza odrzuconych pakietów w Sophos Firewall.
Ścieżka menu
Narzędzie można znaleźć pod:
Diagnostics > Packet capture
Przechwytywanie pakietów otwiera się bezpośrednio w WebAdmin. W zależności od wersji SFOS i wyświetlania w przeglądarce wygląda jak osobne okno diagnostyczne w widoku WebAdmin.
Przed otwarciem powinien być już ustalony przypadek testowy. Narzędzie jest najskuteczniejsze, gdy można odtworzyć pojedynczy przepływ, a nie zastanawiać się, czego szukać podczas nagrywania.
| Przed rozpoczęciem ustal | Przykład |
|---|---|
| Source IP | Klient, serwer, klient VPN lub interfejs zapory |
| Destination | IP docelowe, opublikowany adres lub FQDN z aktualnie rozwiązanym IP |
| Service | ICMP, TCP 443, UDP 500, NTP lub konkretny port aplikacji |
| Oczekiwany kierunek | LAN do WAN, WAN do DMZ, VPN do LAN lub klient do zapory |
| Oczekiwana decyzja | Forwarded, Consumed, Generated, Violation, DNAT/SNAT lub trafienie funkcji bezpieczeństwa |
Po otwarciu należy najpierw użyć Configure i ustawić filtr przechwytywania, zanim zostanie wywołany test. Jeśli Destination, cel CDN lub widok NAT są jeszcze niejasne, pierwszy filtr na Source IP często jest lepszy niż zbyt wąski filtr z błędnym adresem docelowym. Po odtworzeniu testu nagranie powinno zostać zatrzymane, aby widok nie zapełnił się ruchem w tle.
Log Viewer, Packet Capture czy tcpdump?
Log Viewer, Packet Capture w WebAdmin i tcpdump odpowiadają na różne pytania. Kto wybierze niewłaściwe narzędzie na początku, często szuka w niewłaściwym miejscu.
| Narzędzie | Pokazuje głównie |
|---|---|
| Log Viewer | Która reguła zapory, reguła NAT, polityka web, Application Control, IPS lub inspekcja SSL/TLS podjęła decyzję |
| Packet Capture w WebAdmin | Czy pojedyncze pakiety docierają, są przekazywane, konsumowane, generowane lub odrzucane |
tcpdump przez SSH | Dłuższe nagrania, pliki PCAP, przypadki wsparcia i bardzo precyzyjne filtry CLI |
Dobrym przykładem jest ping. W Log Viewer często widać tylko jeden wpis lub podjętą decyzję o połączeniu. W Packet Capture widać natomiast pojedyncze pakiety ICMP: Echo Request do celu i Echo Reply z powrotem. Windows wysyła standardowo cztery ICMP Echo Requests za pomocą ping. W Packet Capture oczekuje się więc kilku pakietów w obie strony. Jeśli widoczne są tylko Requests, ale nie ma Replies, to inny problem niż gdy żaden Request nie dociera do zapory.
W praktyce oznacza to:
- Log Viewer odpowiada: Która reguła lub moduł podjęły decyzję?
- Packet Capture odpowiada: Czy pakiety naprawdę dotarły i jaką drogę przeszły?
- W przypadku problemów z routingiem, NAT, VLAN, bramą lub powrotem Packet Capture często jest bardziej wymowne.
- W przypadku decyzji dotyczących filtrowania web, Application Control, IPS lub inspekcji SSL/TLS potrzebny jest dodatkowo Log Viewer.
- Do nagrań, które trafiają do wsparcia Sophos lub zewnętrznych partnerów analitycznych,
tcpdumpjest zazwyczaj lepszy niż zrzut ekranu z WebAdmin.
Przygotowanie przechwytywania
Przed rozpoczęciem dokładnie zawęź
Przechwytywanie pakietów nie powinno być uruchamiane bez filtra. W sieciach produkcyjnych powstaje w przeciwnym razie bardzo dużo danych, a wynik staje się nieczytelny.
⚠️ Przechwytywanie pakietów nie powinno być uruchamiane jako szerokie, długotrwałe nagranie na produkcyjnych zaporach. Wąski filtr, krótki test i jasny czas redukują ilość danych, ryzyko naruszenia prywatności i błędne interpretacje.
Przed rozpoczęciem należy zanotować:
- Source IP
- Destination IP lub FQDN
- Protokół
- Source Port, jeśli istotny
- Destination Port
- Interfejs lub strefa
- Czas testu
- Dotknięta aplikacja
- Oczekiwana reguła zapory lub NAT, jeśli znana
- Oczekiwany wynik: dozwolony, zablokowany, DNAT, SNAT, VPN, polityka web lub IPS
Dla testu webowego zawężenie mogłoby wyglądać na przykład tak:
| Pole | Przykład |
|---|---|
| Source IP | 172.16.10.25 |
| Destination | 93.184.216.34 |
| Protocol | TCP |
| Destination Port | 443 |
| Oczekiwany kierunek | LAN do WAN |
W praktyce zawsze należy odtwarzać tylko jeden przypadek testowy na raz. Wiele równoległych zmian w regule zapory, NAT, routingu i konfiguracji klienta sprawia, że wynik przechwytywania jest trudny do analizy. Jeśli test dotyczy problemu użytkownika, należy dodatkowo zanotować zalogowanego użytkownika, dotknięte urządzenie i dokładny czas.
Konfiguracja filtra przechwytywania
Za pomocą Configure ustawia się możliwie wąski filtr.
Typowe filtry:
- Source IP klienta
- Destination IP serwera
- Destination Port
- Protokół TCP, UDP lub ICMP
- Interfejs
Jeśli nie zna się serwera docelowego, można najpierw filtrować tylko według Source IP. Jeśli potem widoczne jest zbyt wiele pakietów, można dalej zawężać.
Sophos Firewall używa do tego składni Berkeley Packet Filter, w skrócie BPF. Filtr przechwytywania decyduje, które pakiety są w ogóle zapisywane do bufora przechwytywania. Dlatego powinien być możliwie dokładnie ustawiony przed testem.
Typowe przykłady BPF:
| Cel | Przykład BPF |
|---|---|
| Określony host | host 10.10.10.1 |
| Określone Source IP | src host 10.10.10.1 |
| Określone Destination IP | dst host 10.10.10.1 |
| Określona sieć | net 10.10.10.0 |
| Określony port | port 443 |
| Określony port docelowy | dst port 443 |
| Określony host i port | host 10.10.10.1 and port 443 |
| ICMP/Ping | proto ICMP |
| TCP | proto TCP |
| UDP | proto UDP |
Dla bardzo precyzyjnego testu webowego filtr może wyglądać na przykład tak:
host 172.16.10.25 and host 93.184.216.34 and port 443
Dla testu ping często wystarczy:
host 172.16.10.25 and proto ICMP
Jeśli filtr jest zbyt wąski
Wąski filtr przechwytywania jest ważny, ale nie może ukrywać błędu. Szczególnie przy DNS, NAT, CDN i powrotach należy świadomie zdecydować, czy najpierw filtrować szeroko, czy od razu bardzo precyzyjnie.
Typowe pułapki:
| Sytuacja | Lepsze podejście do filtra |
|---|---|
| Cel znany tylko jako FQDN | Najpierw sprawdź rozdzielczość DNS lub zacznij od Source IP, a potem zawęź do widocznego IP docelowego |
| Strona używa CDN lub wielu adresów IP | Nie używaj tylko jednego starego IP docelowego, ale obserwuj aktualny ruch testowy |
| Sprawdzany jest DNAT | W zależności od perspektywy uwzględnij publiczne IP docelowe, wewnętrzny serwer i port |
| SNAT lub MASQ jest zaangażowany | Oddziel Source IP przed NAT i przetłumaczone Source na interfejsie wyjściowym |
| Brak odpowiedzi | Wybierz filtr tak, aby widoczne były kierunki w obie strony |
| Problem użytkownika lub aplikacji | Najpierw ustaw Source IP i czas, a potem zawęź port, cel lub Rule ID |
Dla pierwszego przebiegu filtr na Source IP często jest bardziej sensowny niż zbyt precyzyjny filtr z błędnym Destination IP. Jeśli widoczny jest odpowiedni przepływ, można w drugim przebiegu filtrować wężej. W przypadku błędów NAT należy również sprawdzić, czy patrzy się na widok przed czy po translacji.
W widoku WebAdmin po zapisaniu widać aktywny ciąg BPF nad listą pakietów. Pierwszy zrzut ekranu pokazuje konfigurację filtra, drugi zrzut ekranu listę wyników z aktywnym filtrem.


⚠️ Dane PCAP mogą zawierać adresy IP, nazwy hostów, szczegóły protokołów, a w zależności od protokołu także dane użytkowe. Przechwytywania powinny być udostępniane tylko osobom lub partnerom, którzy mogą zobaczyć te dane.
Wykonanie przechwytywania
Rozpoczęcie przechwytywania i reprodukcja
- Ustaw filtr.
- Włącz przechwytywanie pakietów za pomocą suwaka.
- Celowo odtwórz problem.
- Zatrzymaj przechwytywanie.
- Analizuj wyniki.
- Wyczyść przechwytywanie, jeśli rozpoczynasz nowy test.
Sophos Firewall pokazuje status i bufor:
| Wyświetlanie | Znaczenie |
|---|---|
Trace On | Przechwytywanie pakietów jest włączone |
Trace Off | Przechwytywanie pakietów jest wyłączone |
Buffer size | Rozmiar bufora przechwytywania, w dokumentacji Sophos 2048 KB |
Buffer used | Aktualnie używany bufor |
Jeśli bufor jest pełny, przechwytywanie automatycznie się zatrzymuje. Następnie trzeba wyczyścić za pomocą Clear, zanim ponownie będzie można sensownie nagrywać. Dlatego ważny jest wąski filtr.
W ustawieniach filtra można dodatkowo określić, ile bajtów na pakiet jest przechwytywanych. Dla wielu pierwszych analiz wystarczają informacje nagłówkowe. Jeśli potrzebne są więcej danych użytkowych, trzeba przechwytywać więcej bajtów, ale należy mieć na uwadze prywatność i rozmiar bufora.
Interpretacja wyniku
Zrozumienie ważnych kolumn
Przechwytywanie pakietów pokazuje wiele pól. W praktyce szczególnie ważne są te:
| Pole | Znaczenie |
|---|---|
| Time | Czas pakietu |
| In interface | Interfejs, na którym pakiet został odebrany |
| Out interface | Interfejs, przez który pakiet wychodzi |
| Source IP | Adres źródłowy |
| Destination IP | Adres docelowy |
| Packet type | Protokół lub typ pakietu |
| Ports [src, dst] | Port źródłowy i docelowy |
| NAT ID | Pasująca reguła NAT |
| Rule ID | Pasująca reguła zapory |
| Status | Status pakietu |
| Reason | Powód odrzucenia lub naruszenia |
| Connection status | Stan połączenia |
| Gateway ID | Używana brama |
| Username | Rozpoznany użytkownik |
| IPS policy ID | Zastosowana polityka IPS |
| Application filter ID | Zastosowana polityka Application Control |
Te pola są wartościowe, ponieważ zamykają lukę między „reguła wygląda poprawnie” a „ruch rzeczywiście tak przebiega”.
Za pomocą Show additional properties lub widoku szczegółowego widać w zależności od wersji dodatkowe informacje, takie jak Connection ID, Web filter ID, Application ID, Web category ID, Gateway ID, Username lub inne ID polityk. Te szczegóły pomagają, gdy pakiet jest przetwarzany nie tylko przez regułę zapory, ale także przez Web, Application Control, IPS lub inne moduły.
Prawidłowa interpretacja statusu
| Status | Znaczenie |
|---|---|
| Incoming | Pakiet został odebrany na interfejsie |
| Forwarded | Pakiet został przekazany dalej |
| Consumed | Pakiet jest przeznaczony dla samej zapory |
| Generated | Pakiet został wygenerowany przez zaporę |
| Violation | Pakiet został odrzucony z powodu naruszenia polityki |
Jeśli widzisz tylko Incoming i brak Forwarded, pakiet prawdopodobnie zatrzymuje się na zaporze. Wtedy należy sprawdzić regułę zapory, NAT, routing i funkcje bezpieczeństwa.
Jeśli widoczny jest Forwarded, ale nie ma odpowiedzi, problem często leży w systemie docelowym, powrocie, NAT lub na przeciwległym końcu.
Przy udanym pingowaniu zazwyczaj widać pakiety w obu kierunkach. Jeśli Windows wysyła cztery pingi, widać kilka ICMP Echo Requests od klienta do celu i kilka Echo Replies z powrotem. Jeśli brakuje Replies, sprawdza się trasę powrotną, system docelowy, lokalną zaporę systemu docelowego, NAT lub przeciwległy koniec. Jeśli brakuje już Requests, sprawdza się klienta, bramę, VLAN, port przełącznika lub czy ruch w ogóle dociera do Sophos Firewall.
Prawidłowe odczytywanie Consumed i Generated
Consumed i Generated są łatwo błędnie interpretowane. Te statusy nie oznaczają automatycznie, że brakuje normalnej reguły zapory.
| Status | Typowy przypadek | Co sprawdzić dalej |
|---|---|---|
Consumed | Pakiet jest przeznaczony dla samej Sophos Firewall | Device Access, Local service ACL, konfiguracja usługi, uprawnienia administratora lub użytkownika |
Generated | Pakiet został wygenerowany przez samą Sophos Firewall | Usługa systemowa, DNS, NTP, VPN, aktualizacja, monitorowanie bramy lub odpowiedź zapory |
Przykłady Consumed to dostęp do WebAdmin, User Portal, VPN Portal, SSH, DNS, SNMP, IPsec lub SSL VPN samej zapory. Taki ruch nie jest traktowany jak normalny ruch przechodzący przez regułę LAN-to-WAN lub WAN-to-DMZ. Jeśli pakiet w przechwytywaniu pokazuje Consumed, należy najpierw ustalić, czy klient naprawdę chciał dotrzeć do samej zapory.
Dla tych przypadków Administration > Device access i Local Service ACL są ważniejsze niż normalna reguła zapory. Utwardzanie tych dostępów opisano w Zabezpieczanie dostępu do Sophos Firewall: Prawidłowa konfiguracja Device Access.
Używanie filtra wyświetlania
Filtr przechwytywania ogranicza, które pakiety są nagrywane. Display filter filtruje natomiast już nagraną widoczność. To praktyczne, gdy celowo uruchomiono przechwytywanie nieco szerzej, a potem chce się wyświetlić tylko określone pakiety.
W Display Filter można filtrować między innymi według tych pól:
- Nazwa interfejsu
- Typ Ethernet, na przykład IPv4, IPv6 lub ARP
- Typ pakietu
- Source IP i Source port
- Destination IP i Destination port
- Reason
- Status
- Rule ID
- User
- Connection ID
Dla rozwiązywania problemów szczególnie pomocne są Status, Reason, Rule ID, Source IP, Destination IP i Destination port. Jeśli w przechwytywaniu jest bardzo dużo pakietów, można szybko zredukować do istotnej części, bez konieczności natychmiastowego ponownego uruchamiania testu.
Odczytywanie NAT w przechwytywaniu pakietów
Przy NAT należy pamiętać, że pakiet przed i po NAT wygląda inaczej. Przechwytywanie pakietów może pokazać NAT ID, Rule ID i zmienione adresy.
Przy problemach z NAT należy sprawdzić:
- Czy widać pakiet z oryginalnym adresem?
- Czy widać pakiet po translacji?
- Czy wyświetlana jest oczekiwana NAT ID?
- Czy pakiet przechodzi przez oczekiwany interfejs wyjściowy?
- Czy odpowiedź wraca?
Dla DNAT dodatkowo: Reguła zapory używa strefy docelowej po NAT, ale IP docelowego przed NAT. Na pierwszy rzut oka wygląda to nietypowo.
Więcej na ten temat: Zrozumienie NAT w Sophos Firewall: SNAT, DNAT, MASQ, PAT.
Łączenie przechwytywania pakietów i Log Viewer
Najlepsza procedura to:
- Otwórz Log Viewer.
- Uruchom Packet Capture z wąskim filtrem.
- Odtwórz test.
- W Packet Capture sprawdź, czy pakiety docierają i są przekazywane dalej.
- W Log Viewer sprawdź, która reguła lub moduł podjęły decyzję.
- W razie potrzeby przejdź do odpowiedniego pliku dziennika.
Log Viewer pokazuje na przykład zdarzenia zapory, web, inspekcji SSL/TLS, IPS lub Application Control. Packet Capture pokazuje natomiast przepływ pakietów na poziomie interfejsu.
Szczególnie przy pingach lub prostych połączeniach TCP ważne jest połączenie. Log Viewer może tylko pokazać, że połączenie zostało dozwolone lub zablokowane. Packet Capture pokazuje dodatkowo, czy odpowiedzi wracają, czy NAT działa, czy używany jest właściwy interfejs wyjściowy i czy powrót jest prawidłowy.
Typowe przypadki analizy
Klient nie osiąga internetu: Ustaw przechwytywanie na Source IP i TCP 443. Jeśli żaden pakiet nie dociera, sprawdź klienta, VLAN, bramę lub przełącznik. Jeśli pakiet dociera, ale nie wychodzi, sprawdź regułę zapory, NAT lub routing.
DNAT nie działa: Ustaw przechwytywanie na publiczne IP docelowe i zewnętrzny port. Jeśli żaden pakiet nie dociera, sprawdź router dostawcy, przekierowanie portów, grupę bezpieczeństwa w chmurze lub WAN. Jeśli pakiet dociera, ale nie trafia do wewnętrznego serwera, sprawdź regułę DNAT i regułę zapory.
Ruch VPN nie działa: Ustaw przechwytywanie na interfejs tunelu, interfejs XFRM lub odpowiednie sieci źródłowe/docelowe. Dodatkowo sprawdź strongswan.log, charon.log lub xfrmi.log.
Webfilter blokuje nieoczekiwanie: W Packet Capture zazwyczaj widać tylko przepływ pakietów. Decyzję lepiej sprawdzić w Log Viewer pod web, Application Control lub inspekcją SSL/TLS.
Małe testy działają, duże transfery się zawieszają: Ustaw przechwytywanie na dotkniętego klienta i cel i zwróć uwagę na retransmisje, brakujące odpowiedzi lub nietypowe rozmiary pakietów. Jeśli ping, logowanie lub małe żądania HTTP działają, ale większe pobierania, RDP, VoIP lub aplikacje VPN się zawieszają, należy dodatkowo sprawdzić MTU, MSS, PPPoE, narzut VPN i fragmentację. Procedura jest opisana w Sprawdzanie MTU i MSS w Sophos Firewall przy problemach z VPN.
Typowe błędne interpretacje
Przechwytywanie pakietów pokazuje bardzo wiele, ale nie zawsze to, czego się najpierw oczekuje. Niektóre błędne interpretacje są szczególnie częste w przypadkach wsparcia.
| Obserwacja | Nie zakładaj od razu | Lepiej sprawdź |
|---|---|---|
Pakiet jest Incoming | Zapora jest winna | Czy potem jest Forwarded, Consumed, Violation lub odpowiednia decyzja reguły? |
Pakiet jest Forwarded | Połączenie musi działać | Sprawdź pakiet odpowiedzi, trasę powrotną, system docelowy i lokalną zaporę systemu docelowego |
| NAT ID jest puste | NAT jest błędny | Nie każdy ruch potrzebuje NAT; najpierw sprawdź oczekiwany projekt NAT |
| Rule ID jest nieoczekiwane | Żądana reguła jest uszkodzona | Sprawdź kolejność reguł, strefy, obiekty, dopasowanie użytkownika i grupę reguł |
| Brak widocznych pakietów | Zapora blokuje | Sprawdź filtr, interfejs, bramę klienta, VLAN, port przełącznika i urządzenia przed zaporą |
| Widoczne są tylko Requests | Reguła wyjściowa nie wystarcza | Sprawdź trasę powrotną, NAT, przeciwległy koniec, zaporę docelową i asymetryczne routowanie |
Jeśli przechwytywanie pakietów pokazuje nieoczekiwane Rule ID, nie należy od razu zmieniać wielu reguł. Lepiej najpierw porównać z Log Viewer i pozycją reguły. Dla systematycznego dopasowania pasuje Sprawdzanie przyczyn niepasującej reguły Sophos Firewall.
Ograniczenia, ochrona danych i udostępnianie
Prywatność i udostępnianie przechwytywań
Dane z przechwytywania pakietów są danymi operacyjnymi. Nawet jeśli często widoczne są tylko nagłówki, mogą ujawniać wewnętrzne adresy IP, publiczne cele, nazwy użytkowników, nazwy hostów, porty, protokoły i relacje komunikacyjne. W przypadku niezaszyfrowanych protokołów mogą być widoczne także dane użytkowe.
Przed udostępnieniem należy sprawdzić:
- Czy nagranie zawiera nazwy klientów, wewnętrzne nazwy hostów lub publiczne adresy IP?
- Czy użytkownicy, systemy lub aplikacje są rozpoznawalne?
- Czy odbiorca jest uprawniony do zobaczenia tych informacji?
- Czy wystarczy zrzut ekranu z odpowiednich wierszy, czy naprawdę potrzebny jest plik PCAP?
- Czy nagranie musi być wcześniej skrócone lub zanonimizowane?
W przypadku wsparcia często lepszy jest celowy tcpdump z czystym filtrem niż szerokie przechwytywanie WebAdmin. Jeśli potrzebne są dodatkowo pliki dziennika, pomaga Zabezpieczanie dzienników Sophos Firewall dla wsparcia i analizy.
Kiedy tcpdump jest lepszy
Przechwytywanie pakietów w WebAdmin jest idealne do szybkich analiz bezpośrednio w przeglądarce. Szybko widać, czy pakiety docierają, są przekazywane, konsumowane, generowane lub odrzucane. Do wstępnego zawężenia to zazwyczaj właściwy start.
tcpdump jest lepszy, gdy nagranie nie jest potrzebne tylko jako widok ekranu, ale jako plik do analizy lub jako dłuższy ślad techniczny.
| Sytuacja | Lepsze narzędzie | Dlaczego |
|---|---|---|
| Krótki test z widocznym Rule ID, NAT ID i statusem | WebAdmin Packet Capture | bezpośrednio w WebAdmin, dobrze łączy się z Log Viewer |
| Plik PCAP dla Wireshark, wsparcia Sophos lub zewnętrznej analizy | tcpdump | zapisuje plik, który można później dokładnie zbadać |
| Sporadyczny błąd, który nie jest reprodukowalny w kilka sekund | tcpdump | może działać dłużej, ale powinien być ograniczony |
| Bardzo dokładne filtry na hosty, porty, protokoły lub porównanie interfejsów | tcpdump | Filtry CLI-BPF są bardziej elastyczne i powtarzalne |
| Niejasna decyzja polityki lub NAT | WebAdmin Packet Capture plus Log Viewer | tcpdump nie pokazuje specyficznego dla Sophos Rule ID lub NAT ID |
Najważniejsza różnica: tcpdump pokazuje pakiety, ale nie specyficzną dla Sophos decyzję. Jeśli trzeba wiedzieć, która reguła zapory, reguła NAT, polityka web, polityka IPS lub reguła inspekcji SSL/TLS była zaangażowana, nadal potrzebny jest Log Viewer, WebAdmin Packet Capture lub odpowiedni plik dziennika.
Przed tcpdump należy świadomie udostępnić SSH lub Advanced Shell. Nagranie powinno być wąsko filtrowane, czasowo ograniczone i po analizie usunięte. Szeroki PCAP na produkcyjnej zaporze może szybko zawierać wrażliwe dane i niepotrzebnie dużo ruchu pobocznego.
Więcej na ten temat: Przechwytywanie pakietów za pomocą tcpdump w Sophos Firewall.
Lista kontrolna
- Zanotuj przypadek testowy z Source, Destination, Port, Protokół i czasem.
- Znać oczekiwaną regułę zapory i NAT, jeśli to możliwe.
- Ustaw wąski filtr przechwytywania.
- Przy DNS, NAT lub celach CDN sprawdź, czy filtr naprawdę obejmuje kierunki w obie strony.
- Odtwarzaj tylko jeden przypadek testowy na raz.
- Zatrzymaj przechwytywanie pakietów po teście.
- Świadomie rozróżniaj
Incoming,Forwarded,Consumed,GeneratediViolation. - Porównaj Rule ID i NAT ID z Log Viewer.
- Przy braku odpowiedzi sprawdź trasę powrotną, NAT, system docelowy i przeciwległy koniec.
- Przy zawieszających się dużych transferach sprawdź MTU/MSS, fragmentację i narzut VPN.
- Przed udostępnieniem przechwytywań sprawdź wrażliwe dane.
- Do dłuższych nagrań lub plików PCAP używaj
tcpdump.
FAQ
Kiedy należy używać przechwytywania pakietów na Sophos Firewall?
Jaka jest różnica między Capture Filter a Display Filter?
Dlaczego w Packet Capture widać tylko Incoming, ale nie Forwarded?
Co oznacza Consumed w Packet Capture?
Consumed oznacza, że pakiet jest przeznaczony dla samej Sophos Firewall. Wtedy należy sprawdzić Device Access, Local Service ACL i dotkniętą usługę zapory, a nie tylko normalne reguły zapory.Kiedy tcpdump jest lepszy niż Packet Capture w WebAdmin?
tcpdump jest lepszy do dłuższych nagrań, plików PCAP, przypadków wsparcia, bardzo dokładnych filtrów CLI i analiz, które później są oceniane w Wireshark lub z pomocą wsparcia Sophos.