Usar o Packet Capture do Sophos Firewall no WebAdmin
O Packet Capture é uma das ferramentas de resolução de problemas mais importantes no WebAdmin do Sophos Firewall. Ele mostra se os pacotes chegam a uma interface, se são encaminhados, qual regra ou ID de NAT está em jogo e se um pacote é descartado.
O Log Viewer mostra a decisão do firewall. O Packet Capture mostra o fluxo de pacotes. Ambos juntos são muitas vezes o caminho mais rápido para a causa. Se uma regra de firewall deve ser testada especificamente, o procedimento adicional está em Testar regra do Sophos Firewall com Log Viewer, Policy tester e Packet Capture.
É importante a classificação: Este artigo descreve a versão WebAdmin do Packet Capture. Para uma verificação inicial, é ideal, pois se vê diretamente no navegador se os pacotes chegam, são encaminhados ou descartados. Para capturas mais longas, filtros muito precisos, exportação PCAP ou casos de suporte, um tcpdump via SSH é muitas vezes mais adequado.
Escolha da ferramenta
Qual artigo é adequado?
O Packet Capture é particularmente forte quando o fluxo real de pacotes é incerto. Para questões relacionadas, às vezes uma outra abordagem é mais rápida:
| Situação | Melhor abordagem |
|---|---|
| Uma única regra de firewall deve ser validada com Log Viewer, Policy tester e Packet Capture | Testar regra do Sophos Firewall com Log Viewer, Policy tester e Packet Capture |
| Uma regra não corresponde ou uma ID de regra inesperada aparece | Verificar causas de regra do Sophos Firewall não correspondendo |
| ID de NAT, DNAT, SNAT, MASQ ou tradução de endereço é o foco | Entender NAT no Sophos Firewall |
| Um servidor interno é publicado na Internet | Publicar servidor via DNAT |
A captura mostra Drop, Violation, Invalid traffic ou uma razão de descarte incerta | Analisar pacotes descartados no Sophos Firewall |
| O tráfego termina no WebAdmin, VPN Portal, SSH, DNS, SNMP ou outro serviço de firewall | Configurar corretamente o Device Access |
| A captura deve durar mais tempo, ser salva como PCAP ou analisada no Wireshark | Sophos Firewall tcpdump: capturar pacotes via CLI |
| Além da captura de pacotes, são necessários arquivos de log locais para suporte | Salvar logs do Sophos Firewall para suporte e análise |
Esta separação é importante: o Packet Capture mostra pacotes e status no nível de pacotes. No entanto, ele não substitui o Log Viewer para decisões de política, nem o artigo de NAT para lógica de tradução, nem o tcpdump quando um arquivo PCAP analisável é necessário.
Quando o Packet Capture é útil
O Packet Capture é especialmente útil para questões como:
- O tráfego chega à firewall?
- O tráfego sai pela interface esperada?
- Uma regra de firewall é aplicada?
- Uma regra de NAT é aplicada?
- Um pacote é descartado por política, IPS ou roteamento?
- Uma resposta do sistema de destino retorna?
- É usado um porto ou protocolo diferente do esperado?
Se nada for visível no Log Viewer, o Packet Capture é muitas vezes o próximo passo. Então, pode-se ver se o problema está antes da firewall ou se a firewall está processando o tráfego.
Se o foco estiver em descartes, Violation, ID de regra, ID de NAT ou pacotes descartados, Analisar pacotes descartados no Sophos Firewall é adequado.
Caminho do menu
A ferramenta pode ser encontrada em:
Diagnostics > Packet capture
O Packet Capture abre-se diretamente no WebAdmin. Dependendo da versão do SFOS e da exibição do navegador, ele parece uma janela de diagnóstico dentro da visualização do WebAdmin.
Antes de abrir, o caso de teste já deve estar definido. A ferramenta é mais eficaz quando se reproduz um único fluxo e não se pensa no que procurar durante a captura.
| Esclarecer antes de começar | Exemplo |
|---|---|
| IP de origem | Cliente, servidor, cliente VPN ou interface de firewall |
| Destino | IP de destino, endereço publicado ou FQDN com IP resolvido atualmente |
| Serviço | ICMP, TCP 443, UDP 500, NTP ou porta de aplicação específica |
| Direção esperada | LAN para WAN, WAN para DMZ, VPN para LAN ou cliente para firewall |
| Decisão esperada | Encaminhado, Consumido, Gerado, Violação, DNAT/SNAT ou acerto de recurso de segurança |
Após abrir, deve-se primeiro usar Configure e definir o filtro de captura antes de iniciar o teste. Se o destino, alvo CDN ou visão NAT ainda não estiver claro, um primeiro filtro no IP de origem é muitas vezes melhor do que um filtro muito restrito com endereço de destino incorreto. Após o teste reproduzido, a captura deve ser interrompida novamente para que a visualização não fique cheia de tráfego de fundo.
Log Viewer, Packet Capture ou tcpdump?
Log Viewer, Packet Capture no WebAdmin e tcpdump respondem a perguntas diferentes. Quem usa a ferramenta errada primeiro, muitas vezes procura no lugar errado.
| Ferramenta | Mostra principalmente |
|---|---|
| Log Viewer | Qual regra de firewall, regra de NAT, política web, Application Control, IPS ou inspeção SSL/TLS decidiu |
| Packet Capture no WebAdmin | Se pacotes individuais chegam, são encaminhados, consumidos, gerados ou descartados |
tcpdump via SSH | Capturas mais longas, arquivos PCAP, casos de suporte e filtros CLI muito específicos |
Um bom exemplo é um ping. No Log Viewer, muitas vezes se vê apenas uma entrada ou uma decisão resumida sobre a conexão. No Packet Capture, vê-se os pacotes ICMP individuais: Echo Request para o destino e Echo Reply de volta. O Windows envia por padrão quatro ICMP Echo Requests com ping. No Packet Capture, espera-se, portanto, vários pacotes de ida e volta. Se apenas os Requests forem visíveis, mas nenhuma Reply retornar, é um problema diferente do que se nenhum Request chegar à firewall.
Na prática, isso significa:
- O Log Viewer responde: Qual regra ou módulo decidiu?
- O Packet Capture responde: Os pacotes realmente chegaram e qual caminho eles tomam?
- Para problemas de roteamento, NAT, VLAN, gateway ou caminho de retorno, o Packet Capture é muitas vezes mais informativo.
- Para decisões de filtro web, Application Control, IPS ou inspeção SSL/TLS, também é necessário o Log Viewer.
- Para capturas que vão para o suporte da Sophos ou parceiros de análise externos,
tcpdumpé geralmente melhor do que uma captura de tela do WebAdmin.
Preparar a captura
Delimitar claramente antes de começar
O Packet Capture não deve ser iniciado sem filtro. Em redes produtivas, caso contrário, muitos dados são gerados e a saída torna-se confusa.
⚠️ O Packet Capture nunca deve ser executado como uma captura contínua ampla em firewalls produtivas. Um filtro restrito, um teste curto e um momento claro reduzem a quantidade de dados, o risco de privacidade e interpretações erradas.
Deve-se anotar previamente:
- IP de origem
- IP de destino ou FQDN
- Protocolo
- Porta de origem, se relevante
- Porta de destino
- Interface ou zona
- Hora do teste
- Aplicação afetada
- Regra de firewall ou regra de NAT esperada, se conhecida
- Resultado esperado: permitido, bloqueado, DNAT, SNAT, VPN, política web ou IPS
Para um teste web, a delimitação poderia ser, por exemplo:
| Campo | Exemplo |
|---|---|
| IP de origem | 172.16.10.25 |
| Destino | 93.184.216.34 |
| Protocolo | TCP |
| Porta de destino | 443 |
| Direção esperada | LAN para WAN |
Na prática, deve-se sempre reproduzir apenas um caso de teste de cada vez. Várias alterações paralelas na regra de firewall, NAT, roteamento e configuração do cliente tornam a saída da captura difícil de avaliar. Se o teste envolver um problema de usuário, deve-se também anotar o usuário logado, o dispositivo afetado e a hora exata.
Configurar filtro de captura
Através de Configure, define-se um filtro o mais restrito possível.
Filtros típicos:
- IP de origem do cliente
- IP de destino do servidor
- Porta de destino
- Protocolo TCP, UDP ou ICMP
- Interface
Se o servidor de destino não for conhecido, pode-se primeiro filtrar apenas pelo IP de origem. Se muitos pacotes forem visíveis depois, restringir mais.
O Sophos Firewall usa a sintaxe Berkeley Packet Filter, ou BPF. O filtro de captura decide quais pacotes são escritos no buffer de captura. Portanto, ele deve ser configurado corretamente antes do teste.
Exemplos típicos de BPF:
| Objetivo | Exemplo de BPF |
|---|---|
| host específico | host 10.10.10.1 |
| IP de origem específico | src host 10.10.10.1 |
| IP de destino específico | dst host 10.10.10.1 |
| rede específica | net 10.10.10.0 |
| porta específica | port 443 |
| porta de destino específica | dst port 443 |
| host e porta específicos | host 10.10.10.1 and port 443 |
| ICMP/Ping | proto ICMP |
| TCP | proto TCP |
| UDP | proto UDP |
Para um teste web muito específico, um filtro pode ser, por exemplo:
host 172.16.10.25 and host 93.184.216.34 and port 443
Para um teste de ping, muitas vezes basta:
host 172.16.10.25 and proto ICMP
Se o filtro for muito restrito
Um filtro de captura restrito é importante, mas não deve ocultar o erro. Especialmente com DNS, NAT, CDNs e caminhos de retorno, deve-se decidir conscientemente se primeiro filtrar de forma ampla o suficiente ou imediatamente de forma muito precisa.
Erros comuns:
| Situação | Melhor abordagem de filtro |
|---|---|
| Destino é conhecido apenas como FQDN | Primeiro verificar a resolução DNS ou começar com IP de origem e depois restringir ao IP de destino visível |
| Site usa CDN ou vários IPs | Não usar apenas um IP de destino antigo, mas observar o tráfego de teste atual |
| DNAT está sendo verificado | Dependendo do ponto de vista, considerar IP de destino público, servidor interno e porta |
| SNAT ou MASQ está envolvido | Separar mentalmente IP de origem antes do NAT e origem traduzida na interface de saída |
| Pacotes de resposta estão faltando | Escolher filtro que mantenha visíveis as direções de ida e volta |
| Problema de usuário ou aplicação | Primeiro definir IP de origem e hora de forma restrita, depois restringir porta, destino ou ID de regra |
Para a primeira execução, um filtro no IP de origem é muitas vezes mais sensato do que um filtro muito preciso com IP de destino incorreto. Quando o fluxo relevante estiver visível, pode-se filtrar mais restritamente na segunda execução. Em erros de NAT, deve-se também verificar se está se observando a visão antes ou depois da tradução.
Na visualização do WebAdmin, vê-se o string BPF ativo acima da lista de pacotes após salvar. A primeira captura de tela mostra a configuração do filtro, a segunda captura de tela a lista de resultados com filtro ativo.


⚠️ Dados PCAP podem conter endereços IP, nomes de host, detalhes de protocolo e, dependendo do protocolo, também dados de usuário. Capturas devem ser compartilhadas apenas com pessoas ou parceiros que possam ver esses dados.
Executar a captura
Iniciar e reproduzir a captura
- Definir filtro.
- Ligar o Packet Capture através do controle deslizante.
- Reproduzir o problema especificamente.
- Parar a captura novamente.
- Analisar os resultados.
- Limpar a captura se um novo teste for iniciado.
O Sophos Firewall mostra o status e o buffer:
| Exibição | Significado |
|---|---|
Trace On | Packet Capture está em execução |
Trace Off | Packet Capture está desligado |
Buffer size | Tamanho do buffer de captura, na documentação da Sophos 2048 KB |
Buffer used | Buffer atualmente usado |
Se o buffer estiver cheio, a captura para automaticamente. Depois, deve-se limpar com Clear antes de gravar novamente de forma útil. Por isso, um filtro restrito é importante.
Nas configurações de filtro, pode-se também definir quantos bytes por pacote são capturados. Para muitas análises iniciais, as informações de cabeçalho são suficientes. Se mais dados de usuário forem necessários, deve-se capturar mais bytes, mas manter a privacidade e o tamanho do buffer em mente.
Interpretar a saída
Compreender colunas importantes
O Packet Capture mostra muitos campos. Na prática, estes são particularmente importantes:
| Campo | Significado |
|---|---|
| Time | Momento do pacote |
| In interface | Interface pela qual o pacote entrou |
| Out interface | Interface pela qual o pacote sai |
| Source IP | Endereço de origem |
| Destination IP | Endereço de destino |
| Packet type | Protocolo ou tipo de pacote |
| Ports [src, dst] | Porta de origem e destino |
| NAT ID | Regra de NAT correspondente |
| Rule ID | Regra de firewall correspondente |
| Status | Status do pacote |
| Reason | Razão para descarte ou violação |
| Connection status | Estado da conexão |
| Gateway ID | Gateway usado |
| Username | Usuário reconhecido |
| IPS policy ID | Política de IPS aplicada |
| Application filter ID | Política de Application Control aplicada |
Esses campos são valiosos porque fecham a lacuna entre “a regra parece correta” e “o tráfego realmente flui assim”.
Através de Show additional properties ou da visualização detalhada, dependendo da versão, vê-se mais informações como Connection ID, Web filter ID, Application ID, Web category ID, Gateway ID, Username ou outras IDs de política. Esses detalhes ajudam quando um pacote não é processado apenas por uma regra de firewall, mas também por Web, Application Control, IPS ou outros módulos.
Interpretar corretamente o status
| Status | Significado |
|---|---|
| Incoming | Pacote foi recebido em uma interface |
| Forwarded | Pacote foi encaminhado |
| Consumed | Pacote é destinado à própria firewall |
| Generated | Pacote foi gerado pela firewall |
| Violation | Pacote foi descartado devido a uma violação de política |
Se apenas Incoming for visto e não Forwarded, o pacote provavelmente fica retido na firewall. Então, deve-se verificar regra de firewall, NAT, roteamento e recursos de segurança.
Se Forwarded for visível, mas nenhuma resposta retornar, o problema geralmente está no sistema de destino, caminho de retorno, NAT ou em uma contraparte.
Em um ping bem-sucedido, vê-se tipicamente pacotes em ambas as direções. Se o Windows enviar quatro pings, vê-se vários ICMP Echo Requests do cliente para o destino e várias Echo Replies de volta. Se as Replies estiverem faltando, verifica-se rota de retorno, sistema de destino, firewall local do sistema de destino, NAT ou uma contraparte. Se os Requests já estiverem faltando, verifica-se cliente, gateway, VLAN, porta do switch ou se o tráfego atinge a Sophos Firewall.
Ler corretamente Consumed e Generated
Consumed e Generated são facilmente mal interpretados. Esses status não significam automaticamente que uma regra de firewall normal está faltando.
| Status | Caso típico | O que verificar depois |
|---|---|---|
Consumed | Pacote é destinado à própria Sophos Firewall | Device Access, Local service ACL, configuração de serviço, permissão de administrador ou usuário |
Generated | Pacote foi gerado pela própria Sophos Firewall | Serviço do sistema, DNS, NTP, VPN, atualização, monitoramento de gateway ou resposta da firewall |
Exemplos de Consumed são acessos ao WebAdmin, User Portal, VPN Portal, SSH, DNS, SNMP, IPsec ou SSL VPN da própria firewall. Esse tráfego não é tratado como tráfego normal de passagem por uma regra LAN-to-WAN ou WAN-to-DMZ. Se um pacote no capture mostrar Consumed, deve-se primeiro esclarecer se o cliente realmente queria alcançar a própria firewall.
Para esses casos, Administration > Device access e Local Service ACL são mais importantes do que uma regra de firewall normal. O fortalecimento desses acessos está descrito em Proteger acesso ao Sophos Firewall: Configurar corretamente o Device Access.
Usar Display Filter
O filtro de captura limita quais pacotes são gravados. O Display filter filtra a visualização já capturada. Isso é prático quando a captura foi intencionalmente iniciada um pouco mais ampla e depois se deseja mostrar apenas pacotes específicos.
No Display Filter, pode-se filtrar, entre outros, por estes campos:
- Nome da interface
- Tipo de Ethernet, por exemplo, IPv4, IPv6 ou ARP
- Tipo de pacote
- IP de origem e porta de origem
- IP de destino e porta de destino
- Razão
- Status
- Rule ID
- Usuário
- Connection ID
Para a resolução de problemas, Status, Reason, Rule ID, Source IP, Destination IP e Destination port são particularmente úteis. Se muitos pacotes estiverem na captura, pode-se rapidamente reduzir para a parte relevante sem precisar reiniciar o teste imediatamente.
Ler NAT no Packet Capture
Com NAT, deve-se considerar que um pacote parece diferente antes e depois do NAT. O Packet Capture pode tornar visíveis a ID de NAT, a ID de regra e os endereços alterados.
Em problemas de NAT, deve-se verificar:
- O pacote é visto com o endereço original?
- O pacote é visto após a tradução?
- A ID de NAT esperada é exibida?
- O pacote passa pela interface de saída esperada?
- Uma resposta retorna?
Para DNAT, aplica-se adicionalmente: A regra de firewall usa a zona de destino após o NAT, mas o IP de destino antes do NAT. Isso pode parecer incomum à primeira vista.
Mais sobre isso: Entender NAT no Sophos Firewall: SNAT, DNAT, MASQ, PAT.
Combinar Packet Capture e Log Viewer
O melhor procedimento é:
- Abrir o Log Viewer.
- Iniciar o Packet Capture com filtro restrito.
- Reproduzir o teste.
- Verificar no Packet Capture se os pacotes chegam e seguem adiante.
- Verificar no Log Viewer qual regra ou módulo decidiu.
- Se necessário, mudar para o arquivo de log apropriado.
O Log Viewer mostra, por exemplo, eventos de firewall, web, inspeção SSL/TLS, IPS ou Application Control. O Packet Capture mostra, por outro lado, o fluxo de pacotes no nível da interface.
Especialmente em ping ou conexões TCP simples, a combinação é importante. O Log Viewer pode apenas mostrar que uma conexão foi permitida ou bloqueada. O Packet Capture mostra adicionalmente se os pacotes de resposta retornam, se o NAT é aplicado, se a interface de saída correta é usada e se o caminho de retorno está correto.
Casos típicos de análise
Cliente não alcança a Internet: Definir captura no IP de origem e TCP 443. Se nenhum pacote chegar, verificar cliente, VLAN, gateway ou switch. Se o pacote entrar, mas não sair, verificar regra de firewall, NAT ou roteamento.
DNAT não funciona: Definir captura no IP de destino público e porta externa. Se nenhum pacote chegar, verificar roteador do provedor, encaminhamento de porta, grupo de segurança na nuvem ou WAN. Se o pacote chegar, mas não for para o servidor interno, verificar regra de DNAT e regra de firewall.
Tráfego de VPN não funciona: Definir captura na interface do túnel, interface XFRM ou redes de origem/destino relevantes. Além disso, verificar strongswan.log, charon.log ou xfrmi.log.
Filtro web bloqueia inesperadamente: No Packet Capture, geralmente só se vê o fluxo de pacotes. A decisão em si é melhor verificada no Log Viewer sob Web, Application Control ou inspeção SSL/TLS.
Pequenos testes funcionam, transferências grandes travam: Definir captura no cliente afetado e no destino e observar retransmissões, respostas ausentes ou tamanhos de pacotes incomuns. Se ping, login ou pequenas solicitações HTTP funcionarem, mas downloads maiores, RDP, VoIP ou aplicações VPN travarem, deve-se também verificar MTU, MSS, PPPoE, sobrecarga de VPN e fragmentação. O procedimento está em Verificar MTU e MSS no Sophos Firewall em problemas de VPN.
Interpretações erradas comuns
O Packet Capture mostra muito, mas nem sempre o que se espera primeiro. Algumas interpretações erradas são particularmente comuns em casos de suporte.
| Observação | Não concluir imediatamente | Melhor verificar |
|---|---|---|
Pacote está em Incoming | Firewall é culpada | Existe depois Forwarded, Consumed, Violation ou uma decisão de regra correspondente? |
Pacote é Forwarded | Conexão deve funcionar | Verificar pacote de resposta, rota de retorno, sistema de destino e firewall local do sistema de destino |
| ID de NAT está vazia | NAT está errado | Nem todo tráfego precisa de NAT; primeiro verificar design de NAT esperado |
| ID de regra é inesperada | A regra desejada está com defeito | Verificar ordem das regras, zonas, objetos, correspondência de usuário e grupo de regras |
| Nenhum pacote visível | Firewall bloqueia | Verificar filtro, interface, gateway do cliente, VLAN, porta do switch e dispositivos anteriores |
| Apenas Requests visíveis | Regra de saída não é suficiente | Verificar caminho de retorno, NAT, contraparte, firewall de destino e roteamento assimétrico |
Se o Packet Capture mostrar uma ID de regra inesperada, não se deve imediatamente alterar várias regras. É melhor primeiro comparar com o Log Viewer e a posição da regra. Para correspondência sistemática, Verificar causas de regra do Sophos Firewall não correspondendo é adequado.
Limites, proteção de dados e partilha
Privacidade e compartilhamento de capturas
Os dados de Packet Capture são dados operacionais. Mesmo que muitas vezes apenas cabeçalhos sejam visíveis, eles podem revelar endereços IP internos, destinos públicos, nomes de usuário, nomes de host, portas, protocolos e relações de comunicação. Em protocolos não criptografados, dados de usuário também podem ser visíveis.
Antes de compartilhar, deve-se verificar:
- A captura contém nomes de clientes, nomes de host internos ou endereços IP públicos?
- Usuários, sistemas ou aplicações são reconhecíveis?
- O destinatário está autorizado a ver essas informações?
- Uma captura de tela das linhas relevantes é suficiente ou realmente precisa de um arquivo PCAP?
- A captura precisa ser encurtada ou anonimizada antes?
Para casos de suporte, muitas vezes uma captura tcpdump direcionada com filtro limpo é melhor do que uma captura ampla do WebAdmin. Se arquivos de log adicionais forem necessários, Salvar logs do Sophos Firewall para suporte e análise ajuda.
Quando tcpdump é melhor
O Packet Capture do WebAdmin é ideal para análises rápidas diretamente no navegador. Vê-se rapidamente se os pacotes chegam, são encaminhados, consumidos, gerados ou descartados. Para uma delimitação inicial, geralmente é o início correto.
tcpdump é melhor quando a captura não é necessária apenas como visualização de tela, mas como arquivo analisável ou como trilha técnica mais longa.
| Situação | Melhor ferramenta | Por quê |
|---|---|---|
| Teste curto com ID de regra visível, ID de NAT e status | Packet Capture do WebAdmin | diretamente no WebAdmin, bem combinável com Log Viewer |
| Arquivo PCAP para Wireshark, suporte da Sophos ou análise externa | tcpdump | grava um arquivo que pode ser examinado posteriormente de forma limpa |
| Erro esporádico que não é reproduzível em poucos segundos | tcpdump | pode ser executado por mais tempo de forma direcionada, mas deve ser limitado |
| Filtros muito precisos em hosts, portas, protocolos ou comparação de interfaces | tcpdump | Filtros CLI-BPF são mais flexíveis e reproduzíveis |
| Decisão de política ou NAT incerta | Packet Capture do WebAdmin mais Log Viewer | tcpdump não mostra ID de regra ou ID de NAT específicas da Sophos |
A principal diferença: tcpdump mostra pacotes, mas nenhuma decisão específica da Sophos. Se for necessário saber qual regra de firewall, regra de NAT, política web, política de IPS ou regra de inspeção SSL/TLS estava envolvida, ainda é necessário o Log Viewer, Packet Capture do WebAdmin ou o arquivo de log apropriado.
Antes de tcpdump, SSH ou Advanced Shell devem ser conscientemente liberados. A captura deve ser filtrada de forma restrita, limitada no tempo e removida após a análise. Um PCAP amplo em uma firewall produtiva pode rapidamente conter dados sensíveis e muito tráfego desnecessário.
Mais sobre isso: Sophos Firewall tcpdump: capturar pacotes via CLI.
Lista de verificação
- Anotar caso de teste com origem, destino, porta, protocolo e hora.
- Conhecer regra de firewall e regra de NAT esperadas, se possível.
- Definir filtro de captura de forma restrita.
- Em DNS, NAT ou destinos CDN, verificar se o filtro realmente captura as direções de ida e volta.
- Reproduzir apenas um caso de teste de cada vez.
- Parar o Packet Capture após o teste.
- Distinguir conscientemente
Incoming,Forwarded,Consumed,GeneratedeViolation. - Comparar ID de regra e ID de NAT com Log Viewer.
- Em caso de resposta ausente, verificar caminho de retorno, NAT, sistema de destino e contraparte.
- Em transferências grandes travadas, verificar MTU/MSS, fragmentação e sobrecarga de VPN.
- Verificar dados sensíveis antes de compartilhar capturas.
- Para capturas mais longas ou arquivos PCAP, usar
tcpdump.
FAQ
Quando deve-se usar o Packet Capture no Sophos Firewall?
Qual é a diferença entre Capture Filter e Display Filter?
Por que se vê apenas Incoming no Packet Capture, mas não Forwarded?
O que significa Consumed no Packet Capture?
Consumed significa que o pacote é destinado à própria Sophos Firewall. Deve-se verificar Device Access, Local Service ACL e o serviço de firewall afetado, não apenas regras de firewall normais.Quando o tcpdump é melhor que o Packet Capture no WebAdmin?
tcpdump é melhor para capturas mais longas, arquivos PCAP, casos de suporte, filtros CLI muito precisos e análises que serão posteriormente avaliadas no Wireshark ou com suporte da Sophos.