Saltar para o conteudo
Avanet

Usar o Packet Capture do Sophos Firewall no WebAdmin

O Packet Capture é uma das ferramentas de resolução de problemas mais importantes no WebAdmin do Sophos Firewall. Ele mostra se os pacotes chegam a uma interface, se são encaminhados, qual regra ou ID de NAT está em jogo e se um pacote é descartado.

O Log Viewer mostra a decisão do firewall. O Packet Capture mostra o fluxo de pacotes. Ambos juntos são muitas vezes o caminho mais rápido para a causa. Se uma regra de firewall deve ser testada especificamente, o procedimento adicional está em Testar regra do Sophos Firewall com Log Viewer, Policy tester e Packet Capture.

É importante a classificação: Este artigo descreve a versão WebAdmin do Packet Capture. Para uma verificação inicial, é ideal, pois se vê diretamente no navegador se os pacotes chegam, são encaminhados ou descartados. Para capturas mais longas, filtros muito precisos, exportação PCAP ou casos de suporte, um tcpdump via SSH é muitas vezes mais adequado.

Escolha da ferramenta

Qual artigo é adequado?

O Packet Capture é particularmente forte quando o fluxo real de pacotes é incerto. Para questões relacionadas, às vezes uma outra abordagem é mais rápida:

SituaçãoMelhor abordagem
Uma única regra de firewall deve ser validada com Log Viewer, Policy tester e Packet CaptureTestar regra do Sophos Firewall com Log Viewer, Policy tester e Packet Capture
Uma regra não corresponde ou uma ID de regra inesperada apareceVerificar causas de regra do Sophos Firewall não correspondendo
ID de NAT, DNAT, SNAT, MASQ ou tradução de endereço é o focoEntender NAT no Sophos Firewall
Um servidor interno é publicado na InternetPublicar servidor via DNAT
A captura mostra Drop, Violation, Invalid traffic ou uma razão de descarte incertaAnalisar pacotes descartados no Sophos Firewall
O tráfego termina no WebAdmin, VPN Portal, SSH, DNS, SNMP ou outro serviço de firewallConfigurar corretamente o Device Access
A captura deve durar mais tempo, ser salva como PCAP ou analisada no WiresharkSophos Firewall tcpdump: capturar pacotes via CLI
Além da captura de pacotes, são necessários arquivos de log locais para suporteSalvar logs do Sophos Firewall para suporte e análise

Esta separação é importante: o Packet Capture mostra pacotes e status no nível de pacotes. No entanto, ele não substitui o Log Viewer para decisões de política, nem o artigo de NAT para lógica de tradução, nem o tcpdump quando um arquivo PCAP analisável é necessário.

Quando o Packet Capture é útil

O Packet Capture é especialmente útil para questões como:

  • O tráfego chega à firewall?
  • O tráfego sai pela interface esperada?
  • Uma regra de firewall é aplicada?
  • Uma regra de NAT é aplicada?
  • Um pacote é descartado por política, IPS ou roteamento?
  • Uma resposta do sistema de destino retorna?
  • É usado um porto ou protocolo diferente do esperado?

Se nada for visível no Log Viewer, o Packet Capture é muitas vezes o próximo passo. Então, pode-se ver se o problema está antes da firewall ou se a firewall está processando o tráfego.

Se o foco estiver em descartes, Violation, ID de regra, ID de NAT ou pacotes descartados, Analisar pacotes descartados no Sophos Firewall é adequado.

Caminho do menu

A ferramenta pode ser encontrada em:

Diagnostics > Packet capture

O Packet Capture abre-se diretamente no WebAdmin. Dependendo da versão do SFOS e da exibição do navegador, ele parece uma janela de diagnóstico dentro da visualização do WebAdmin.

Antes de abrir, o caso de teste já deve estar definido. A ferramenta é mais eficaz quando se reproduz um único fluxo e não se pensa no que procurar durante a captura.

Esclarecer antes de começarExemplo
IP de origemCliente, servidor, cliente VPN ou interface de firewall
DestinoIP de destino, endereço publicado ou FQDN com IP resolvido atualmente
ServiçoICMP, TCP 443, UDP 500, NTP ou porta de aplicação específica
Direção esperadaLAN para WAN, WAN para DMZ, VPN para LAN ou cliente para firewall
Decisão esperadaEncaminhado, Consumido, Gerado, Violação, DNAT/SNAT ou acerto de recurso de segurança

Após abrir, deve-se primeiro usar Configure e definir o filtro de captura antes de iniciar o teste. Se o destino, alvo CDN ou visão NAT ainda não estiver claro, um primeiro filtro no IP de origem é muitas vezes melhor do que um filtro muito restrito com endereço de destino incorreto. Após o teste reproduzido, a captura deve ser interrompida novamente para que a visualização não fique cheia de tráfego de fundo.

Log Viewer, Packet Capture ou tcpdump?

Log Viewer, Packet Capture no WebAdmin e tcpdump respondem a perguntas diferentes. Quem usa a ferramenta errada primeiro, muitas vezes procura no lugar errado.

FerramentaMostra principalmente
Log ViewerQual regra de firewall, regra de NAT, política web, Application Control, IPS ou inspeção SSL/TLS decidiu
Packet Capture no WebAdminSe pacotes individuais chegam, são encaminhados, consumidos, gerados ou descartados
tcpdump via SSHCapturas mais longas, arquivos PCAP, casos de suporte e filtros CLI muito específicos

Um bom exemplo é um ping. No Log Viewer, muitas vezes se vê apenas uma entrada ou uma decisão resumida sobre a conexão. No Packet Capture, vê-se os pacotes ICMP individuais: Echo Request para o destino e Echo Reply de volta. O Windows envia por padrão quatro ICMP Echo Requests com ping. No Packet Capture, espera-se, portanto, vários pacotes de ida e volta. Se apenas os Requests forem visíveis, mas nenhuma Reply retornar, é um problema diferente do que se nenhum Request chegar à firewall.

Na prática, isso significa:

  • O Log Viewer responde: Qual regra ou módulo decidiu?
  • O Packet Capture responde: Os pacotes realmente chegaram e qual caminho eles tomam?
  • Para problemas de roteamento, NAT, VLAN, gateway ou caminho de retorno, o Packet Capture é muitas vezes mais informativo.
  • Para decisões de filtro web, Application Control, IPS ou inspeção SSL/TLS, também é necessário o Log Viewer.
  • Para capturas que vão para o suporte da Sophos ou parceiros de análise externos, tcpdump é geralmente melhor do que uma captura de tela do WebAdmin.

Preparar a captura

Delimitar claramente antes de começar

O Packet Capture não deve ser iniciado sem filtro. Em redes produtivas, caso contrário, muitos dados são gerados e a saída torna-se confusa.

⚠️ O Packet Capture nunca deve ser executado como uma captura contínua ampla em firewalls produtivas. Um filtro restrito, um teste curto e um momento claro reduzem a quantidade de dados, o risco de privacidade e interpretações erradas.

Deve-se anotar previamente:

  • IP de origem
  • IP de destino ou FQDN
  • Protocolo
  • Porta de origem, se relevante
  • Porta de destino
  • Interface ou zona
  • Hora do teste
  • Aplicação afetada
  • Regra de firewall ou regra de NAT esperada, se conhecida
  • Resultado esperado: permitido, bloqueado, DNAT, SNAT, VPN, política web ou IPS

Para um teste web, a delimitação poderia ser, por exemplo:

CampoExemplo
IP de origem172.16.10.25
Destino93.184.216.34
ProtocoloTCP
Porta de destino443
Direção esperadaLAN para WAN

Na prática, deve-se sempre reproduzir apenas um caso de teste de cada vez. Várias alterações paralelas na regra de firewall, NAT, roteamento e configuração do cliente tornam a saída da captura difícil de avaliar. Se o teste envolver um problema de usuário, deve-se também anotar o usuário logado, o dispositivo afetado e a hora exata.

Configurar filtro de captura

Através de Configure, define-se um filtro o mais restrito possível.

Filtros típicos:

  • IP de origem do cliente
  • IP de destino do servidor
  • Porta de destino
  • Protocolo TCP, UDP ou ICMP
  • Interface

Se o servidor de destino não for conhecido, pode-se primeiro filtrar apenas pelo IP de origem. Se muitos pacotes forem visíveis depois, restringir mais.

O Sophos Firewall usa a sintaxe Berkeley Packet Filter, ou BPF. O filtro de captura decide quais pacotes são escritos no buffer de captura. Portanto, ele deve ser configurado corretamente antes do teste.

Exemplos típicos de BPF:

ObjetivoExemplo de BPF
host específicohost 10.10.10.1
IP de origem específicosrc host 10.10.10.1
IP de destino específicodst host 10.10.10.1
rede específicanet 10.10.10.0
porta específicaport 443
porta de destino específicadst port 443
host e porta específicoshost 10.10.10.1 and port 443
ICMP/Pingproto ICMP
TCPproto TCP
UDPproto UDP

Para um teste web muito específico, um filtro pode ser, por exemplo:

host 172.16.10.25 and host 93.184.216.34 and port 443

Para um teste de ping, muitas vezes basta:

host 172.16.10.25 and proto ICMP

Se o filtro for muito restrito

Um filtro de captura restrito é importante, mas não deve ocultar o erro. Especialmente com DNS, NAT, CDNs e caminhos de retorno, deve-se decidir conscientemente se primeiro filtrar de forma ampla o suficiente ou imediatamente de forma muito precisa.

Erros comuns:

SituaçãoMelhor abordagem de filtro
Destino é conhecido apenas como FQDNPrimeiro verificar a resolução DNS ou começar com IP de origem e depois restringir ao IP de destino visível
Site usa CDN ou vários IPsNão usar apenas um IP de destino antigo, mas observar o tráfego de teste atual
DNAT está sendo verificadoDependendo do ponto de vista, considerar IP de destino público, servidor interno e porta
SNAT ou MASQ está envolvidoSeparar mentalmente IP de origem antes do NAT e origem traduzida na interface de saída
Pacotes de resposta estão faltandoEscolher filtro que mantenha visíveis as direções de ida e volta
Problema de usuário ou aplicaçãoPrimeiro definir IP de origem e hora de forma restrita, depois restringir porta, destino ou ID de regra

Para a primeira execução, um filtro no IP de origem é muitas vezes mais sensato do que um filtro muito preciso com IP de destino incorreto. Quando o fluxo relevante estiver visível, pode-se filtrar mais restritamente na segunda execução. Em erros de NAT, deve-se também verificar se está se observando a visão antes ou depois da tradução.

Na visualização do WebAdmin, vê-se o string BPF ativo acima da lista de pacotes após salvar. A primeira captura de tela mostra a configuração do filtro, a segunda captura de tela a lista de resultados com filtro ativo.

Configurar filtro de captura do Sophos Firewall Packet Capture com string BPF para host e porta 443
Sophos Firewall - Configurar filtro de Packet Capture com string BPF
Lista de resultados do Packet Capture do Sophos Firewall com filtro BPF ativo e pacotes TCP capturados
Sophos Firewall - Packet Capture com filtro BPF ativo e pacotes capturados

⚠️ Dados PCAP podem conter endereços IP, nomes de host, detalhes de protocolo e, dependendo do protocolo, também dados de usuário. Capturas devem ser compartilhadas apenas com pessoas ou parceiros que possam ver esses dados.

Executar a captura

Iniciar e reproduzir a captura

  1. Definir filtro.
  2. Ligar o Packet Capture através do controle deslizante.
  3. Reproduzir o problema especificamente.
  4. Parar a captura novamente.
  5. Analisar os resultados.
  6. Limpar a captura se um novo teste for iniciado.

O Sophos Firewall mostra o status e o buffer:

ExibiçãoSignificado
Trace OnPacket Capture está em execução
Trace OffPacket Capture está desligado
Buffer sizeTamanho do buffer de captura, na documentação da Sophos 2048 KB
Buffer usedBuffer atualmente usado

Se o buffer estiver cheio, a captura para automaticamente. Depois, deve-se limpar com Clear antes de gravar novamente de forma útil. Por isso, um filtro restrito é importante.

Nas configurações de filtro, pode-se também definir quantos bytes por pacote são capturados. Para muitas análises iniciais, as informações de cabeçalho são suficientes. Se mais dados de usuário forem necessários, deve-se capturar mais bytes, mas manter a privacidade e o tamanho do buffer em mente.

Interpretar a saída

Compreender colunas importantes

O Packet Capture mostra muitos campos. Na prática, estes são particularmente importantes:

CampoSignificado
TimeMomento do pacote
In interfaceInterface pela qual o pacote entrou
Out interfaceInterface pela qual o pacote sai
Source IPEndereço de origem
Destination IPEndereço de destino
Packet typeProtocolo ou tipo de pacote
Ports [src, dst]Porta de origem e destino
NAT IDRegra de NAT correspondente
Rule IDRegra de firewall correspondente
StatusStatus do pacote
ReasonRazão para descarte ou violação
Connection statusEstado da conexão
Gateway IDGateway usado
UsernameUsuário reconhecido
IPS policy IDPolítica de IPS aplicada
Application filter IDPolítica de Application Control aplicada

Esses campos são valiosos porque fecham a lacuna entre “a regra parece correta” e “o tráfego realmente flui assim”.

Através de Show additional properties ou da visualização detalhada, dependendo da versão, vê-se mais informações como Connection ID, Web filter ID, Application ID, Web category ID, Gateway ID, Username ou outras IDs de política. Esses detalhes ajudam quando um pacote não é processado apenas por uma regra de firewall, mas também por Web, Application Control, IPS ou outros módulos.

Interpretar corretamente o status

StatusSignificado
IncomingPacote foi recebido em uma interface
ForwardedPacote foi encaminhado
ConsumedPacote é destinado à própria firewall
GeneratedPacote foi gerado pela firewall
ViolationPacote foi descartado devido a uma violação de política

Se apenas Incoming for visto e não Forwarded, o pacote provavelmente fica retido na firewall. Então, deve-se verificar regra de firewall, NAT, roteamento e recursos de segurança.

Se Forwarded for visível, mas nenhuma resposta retornar, o problema geralmente está no sistema de destino, caminho de retorno, NAT ou em uma contraparte.

Em um ping bem-sucedido, vê-se tipicamente pacotes em ambas as direções. Se o Windows enviar quatro pings, vê-se vários ICMP Echo Requests do cliente para o destino e várias Echo Replies de volta. Se as Replies estiverem faltando, verifica-se rota de retorno, sistema de destino, firewall local do sistema de destino, NAT ou uma contraparte. Se os Requests já estiverem faltando, verifica-se cliente, gateway, VLAN, porta do switch ou se o tráfego atinge a Sophos Firewall.

Ler corretamente Consumed e Generated

Consumed e Generated são facilmente mal interpretados. Esses status não significam automaticamente que uma regra de firewall normal está faltando.

StatusCaso típicoO que verificar depois
ConsumedPacote é destinado à própria Sophos FirewallDevice Access, Local service ACL, configuração de serviço, permissão de administrador ou usuário
GeneratedPacote foi gerado pela própria Sophos FirewallServiço do sistema, DNS, NTP, VPN, atualização, monitoramento de gateway ou resposta da firewall

Exemplos de Consumed são acessos ao WebAdmin, User Portal, VPN Portal, SSH, DNS, SNMP, IPsec ou SSL VPN da própria firewall. Esse tráfego não é tratado como tráfego normal de passagem por uma regra LAN-to-WAN ou WAN-to-DMZ. Se um pacote no capture mostrar Consumed, deve-se primeiro esclarecer se o cliente realmente queria alcançar a própria firewall.

Para esses casos, Administration > Device access e Local Service ACL são mais importantes do que uma regra de firewall normal. O fortalecimento desses acessos está descrito em Proteger acesso ao Sophos Firewall: Configurar corretamente o Device Access.

Usar Display Filter

O filtro de captura limita quais pacotes são gravados. O Display filter filtra a visualização já capturada. Isso é prático quando a captura foi intencionalmente iniciada um pouco mais ampla e depois se deseja mostrar apenas pacotes específicos.

No Display Filter, pode-se filtrar, entre outros, por estes campos:

  • Nome da interface
  • Tipo de Ethernet, por exemplo, IPv4, IPv6 ou ARP
  • Tipo de pacote
  • IP de origem e porta de origem
  • IP de destino e porta de destino
  • Razão
  • Status
  • Rule ID
  • Usuário
  • Connection ID

Para a resolução de problemas, Status, Reason, Rule ID, Source IP, Destination IP e Destination port são particularmente úteis. Se muitos pacotes estiverem na captura, pode-se rapidamente reduzir para a parte relevante sem precisar reiniciar o teste imediatamente.

Ler NAT no Packet Capture

Com NAT, deve-se considerar que um pacote parece diferente antes e depois do NAT. O Packet Capture pode tornar visíveis a ID de NAT, a ID de regra e os endereços alterados.

Em problemas de NAT, deve-se verificar:

  • O pacote é visto com o endereço original?
  • O pacote é visto após a tradução?
  • A ID de NAT esperada é exibida?
  • O pacote passa pela interface de saída esperada?
  • Uma resposta retorna?

Para DNAT, aplica-se adicionalmente: A regra de firewall usa a zona de destino após o NAT, mas o IP de destino antes do NAT. Isso pode parecer incomum à primeira vista.

Mais sobre isso: Entender NAT no Sophos Firewall: SNAT, DNAT, MASQ, PAT.

Combinar Packet Capture e Log Viewer

O melhor procedimento é:

  1. Abrir o Log Viewer.
  2. Iniciar o Packet Capture com filtro restrito.
  3. Reproduzir o teste.
  4. Verificar no Packet Capture se os pacotes chegam e seguem adiante.
  5. Verificar no Log Viewer qual regra ou módulo decidiu.
  6. Se necessário, mudar para o arquivo de log apropriado.

O Log Viewer mostra, por exemplo, eventos de firewall, web, inspeção SSL/TLS, IPS ou Application Control. O Packet Capture mostra, por outro lado, o fluxo de pacotes no nível da interface.

Especialmente em ping ou conexões TCP simples, a combinação é importante. O Log Viewer pode apenas mostrar que uma conexão foi permitida ou bloqueada. O Packet Capture mostra adicionalmente se os pacotes de resposta retornam, se o NAT é aplicado, se a interface de saída correta é usada e se o caminho de retorno está correto.

Casos típicos de análise

Cliente não alcança a Internet: Definir captura no IP de origem e TCP 443. Se nenhum pacote chegar, verificar cliente, VLAN, gateway ou switch. Se o pacote entrar, mas não sair, verificar regra de firewall, NAT ou roteamento.

DNAT não funciona: Definir captura no IP de destino público e porta externa. Se nenhum pacote chegar, verificar roteador do provedor, encaminhamento de porta, grupo de segurança na nuvem ou WAN. Se o pacote chegar, mas não for para o servidor interno, verificar regra de DNAT e regra de firewall.

Tráfego de VPN não funciona: Definir captura na interface do túnel, interface XFRM ou redes de origem/destino relevantes. Além disso, verificar strongswan.log, charon.log ou xfrmi.log.

Filtro web bloqueia inesperadamente: No Packet Capture, geralmente só se vê o fluxo de pacotes. A decisão em si é melhor verificada no Log Viewer sob Web, Application Control ou inspeção SSL/TLS.

Pequenos testes funcionam, transferências grandes travam: Definir captura no cliente afetado e no destino e observar retransmissões, respostas ausentes ou tamanhos de pacotes incomuns. Se ping, login ou pequenas solicitações HTTP funcionarem, mas downloads maiores, RDP, VoIP ou aplicações VPN travarem, deve-se também verificar MTU, MSS, PPPoE, sobrecarga de VPN e fragmentação. O procedimento está em Verificar MTU e MSS no Sophos Firewall em problemas de VPN.

Interpretações erradas comuns

O Packet Capture mostra muito, mas nem sempre o que se espera primeiro. Algumas interpretações erradas são particularmente comuns em casos de suporte.

ObservaçãoNão concluir imediatamenteMelhor verificar
Pacote está em IncomingFirewall é culpadaExiste depois Forwarded, Consumed, Violation ou uma decisão de regra correspondente?
Pacote é ForwardedConexão deve funcionarVerificar pacote de resposta, rota de retorno, sistema de destino e firewall local do sistema de destino
ID de NAT está vaziaNAT está erradoNem todo tráfego precisa de NAT; primeiro verificar design de NAT esperado
ID de regra é inesperadaA regra desejada está com defeitoVerificar ordem das regras, zonas, objetos, correspondência de usuário e grupo de regras
Nenhum pacote visívelFirewall bloqueiaVerificar filtro, interface, gateway do cliente, VLAN, porta do switch e dispositivos anteriores
Apenas Requests visíveisRegra de saída não é suficienteVerificar caminho de retorno, NAT, contraparte, firewall de destino e roteamento assimétrico

Se o Packet Capture mostrar uma ID de regra inesperada, não se deve imediatamente alterar várias regras. É melhor primeiro comparar com o Log Viewer e a posição da regra. Para correspondência sistemática, Verificar causas de regra do Sophos Firewall não correspondendo é adequado.

Limites, proteção de dados e partilha

Privacidade e compartilhamento de capturas

Os dados de Packet Capture são dados operacionais. Mesmo que muitas vezes apenas cabeçalhos sejam visíveis, eles podem revelar endereços IP internos, destinos públicos, nomes de usuário, nomes de host, portas, protocolos e relações de comunicação. Em protocolos não criptografados, dados de usuário também podem ser visíveis.

Antes de compartilhar, deve-se verificar:

  • A captura contém nomes de clientes, nomes de host internos ou endereços IP públicos?
  • Usuários, sistemas ou aplicações são reconhecíveis?
  • O destinatário está autorizado a ver essas informações?
  • Uma captura de tela das linhas relevantes é suficiente ou realmente precisa de um arquivo PCAP?
  • A captura precisa ser encurtada ou anonimizada antes?

Para casos de suporte, muitas vezes uma captura tcpdump direcionada com filtro limpo é melhor do que uma captura ampla do WebAdmin. Se arquivos de log adicionais forem necessários, Salvar logs do Sophos Firewall para suporte e análise ajuda.

Quando tcpdump é melhor

O Packet Capture do WebAdmin é ideal para análises rápidas diretamente no navegador. Vê-se rapidamente se os pacotes chegam, são encaminhados, consumidos, gerados ou descartados. Para uma delimitação inicial, geralmente é o início correto.

tcpdump é melhor quando a captura não é necessária apenas como visualização de tela, mas como arquivo analisável ou como trilha técnica mais longa.

SituaçãoMelhor ferramentaPor quê
Teste curto com ID de regra visível, ID de NAT e statusPacket Capture do WebAdmindiretamente no WebAdmin, bem combinável com Log Viewer
Arquivo PCAP para Wireshark, suporte da Sophos ou análise externatcpdumpgrava um arquivo que pode ser examinado posteriormente de forma limpa
Erro esporádico que não é reproduzível em poucos segundostcpdumppode ser executado por mais tempo de forma direcionada, mas deve ser limitado
Filtros muito precisos em hosts, portas, protocolos ou comparação de interfacestcpdumpFiltros CLI-BPF são mais flexíveis e reproduzíveis
Decisão de política ou NAT incertaPacket Capture do WebAdmin mais Log Viewertcpdump não mostra ID de regra ou ID de NAT específicas da Sophos

A principal diferença: tcpdump mostra pacotes, mas nenhuma decisão específica da Sophos. Se for necessário saber qual regra de firewall, regra de NAT, política web, política de IPS ou regra de inspeção SSL/TLS estava envolvida, ainda é necessário o Log Viewer, Packet Capture do WebAdmin ou o arquivo de log apropriado.

Antes de tcpdump, SSH ou Advanced Shell devem ser conscientemente liberados. A captura deve ser filtrada de forma restrita, limitada no tempo e removida após a análise. Um PCAP amplo em uma firewall produtiva pode rapidamente conter dados sensíveis e muito tráfego desnecessário.

Mais sobre isso: Sophos Firewall tcpdump: capturar pacotes via CLI.

Lista de verificação

  • Anotar caso de teste com origem, destino, porta, protocolo e hora.
  • Conhecer regra de firewall e regra de NAT esperadas, se possível.
  • Definir filtro de captura de forma restrita.
  • Em DNS, NAT ou destinos CDN, verificar se o filtro realmente captura as direções de ida e volta.
  • Reproduzir apenas um caso de teste de cada vez.
  • Parar o Packet Capture após o teste.
  • Distinguir conscientemente Incoming, Forwarded, Consumed, Generated e Violation.
  • Comparar ID de regra e ID de NAT com Log Viewer.
  • Em caso de resposta ausente, verificar caminho de retorno, NAT, sistema de destino e contraparte.
  • Em transferências grandes travadas, verificar MTU/MSS, fragmentação e sobrecarga de VPN.
  • Verificar dados sensíveis antes de compartilhar capturas.
  • Para capturas mais longas ou arquivos PCAP, usar tcpdump.

FAQ

Quando deve-se usar o Packet Capture no Sophos Firewall?

O Packet Capture é útil quando o fluxo real de pacotes é incerto: o tráfego chega, é encaminhado, descartado ou fica na firewall? Para decisões de política puras, muitas vezes o Log Viewer é suficiente primeiro.

Qual é a diferença entre Capture Filter e Display Filter?

O Capture Filter decide quais pacotes são gravados. O Display Filter filtra apenas a exibição já capturada. Para testes produtivos, o Capture Filter deve ser definido o mais restrito possível.

Por que se vê apenas Incoming no Packet Capture, mas não Forwarded?

Então, o pacote foi recebido, mas não encaminhado. Causas típicas são regra de firewall, NAT, roteamento, recurso de segurança, zona incorreta ou um pacote destinado à própria firewall.

O que significa Consumed no Packet Capture?

Consumed significa que o pacote é destinado à própria Sophos Firewall. Deve-se verificar Device Access, Local Service ACL e o serviço de firewall afetado, não apenas regras de firewall normais.

Quando o tcpdump é melhor que o Packet Capture no WebAdmin?

tcpdump é melhor para capturas mais longas, arquivos PCAP, casos de suporte, filtros CLI muito precisos e análises que serão posteriormente avaliadas no Wireshark ou com suporte da Sophos.

Pode-se deixar o Packet Capture rodar sem filtro?

Tecnicamente é possível, mas em ambientes produtivos geralmente não é uma boa ideia. Sem um filtro restrito, muitos dados são gerados, o buffer enche rapidamente e dados de comunicação sensíveis são desnecessariamente capturados.

Por que o Packet Capture não vê pacotes apesar do teste correto?

Frequentemente, o filtro é muito restrito ou não corresponde à visão atual da firewall. Em FQDNs, destinos CDN, NAT, DNAT ou caminho de retorno assimétrico, deve-se primeiro verificar com IP de origem e hora e depois filtrar progressivamente mais restrito.