Regra Sophos Firewall não aplica: verificar causas
Quando uma firewall rule não faz match, raramente a firewall está “avariada”. Normalmente uma condição não corresponde, existe uma regra mais geral acima, NAT altera a forma como o tráfego é visto, User Matching não está cumprido ou o logging não está corretamente ativado.
Esta checklist ajuda a proceder de forma sistemática, em vez de alterar regras ao acaso.
Primeiro princípio: a primeira regra que faz match ganha
A Sophos Firewall processa firewall rules de cima para baixo. Assim que uma regra faz match, as regras seguintes deixam de ser verificadas. O mesmo princípio básico aplica-se também às NAT rules.
Importante:
- A posição na lista decide a avaliação.
- A Rule ID é apenas uma referência e não diz nada sobre a ordem atual.
- Rule groups ajudam na organização, mas não são uma lógica de match própria.
- Uma regra geral acima pode “engolir” completamente uma regra mais específica abaixo.
Quando uma regra não faz match, verifica-se primeiro a posição.
Repor o contador da regra
Quando os hits não são claros, ajuda repor o contador da regra.
- Abrir Rules and policies > Firewall rules.
- Procurar a regra afetada.
- Abrir o menu de três pontos.
- Selecionar Reset data transfer count.
- Reproduzir o tráfego.
- Verificar se o contador aumenta.
Se o contador não aumentar, a regra não faz match. Se aumentar, mas a aplicação continuar sem funcionar, o problema está mais provavelmente nos Security Profiles, NAT, routing, caminho de retorno ou sistema de destino.
Verificar campos de matching
Uma firewall rule só faz match quando todos os critérios relevantes correspondem.
| Campo | Erros típicos |
|---|---|
| Source zones | Zona errada, VLAN noutra zona, tráfego VPN vindo de VPN |
| Source networks and devices | Objeto errado, IP errado, host group incompleto |
| Destination zones | Zona de destino errada, especialmente com DNAT ou VPN |
| Destination networks | Vista pré-NAT e pós-NAT confundidas |
| Services | Porta em falta, TCP/UDP confundidos, aplicação usa portas adicionais |
| Users or groups | Utilizador não autenticado ou grupo errado |
| Schedule | Schedule não corresponde neste momento |
| Exclusions | Tráfego é excluído da regra e processado mais abaixo |
Para tráfego web, deve também verificar-se se QUIC está ativo. Se o browser enviar tráfego por UDP 443, algumas expectativas de web filtering e scanning comportam-se de forma diferente do HTTPS clássico por TCP.
Mais detalhes: Sophos Firewall e o protocolo QUIC.
Ler DNAT corretamente
Com DNAT, a vista nas firewall rules é especialmente importante. Como regra prática:
Firewall rules para tráfego DNAT usam a zona de destino depois do NAT, mas o IP de destino antes do NAT.
Exemplo:
- Um cliente externo liga-se ao IP WAN da firewall.
- NAT traduz para um servidor interno na
DMZ. - A firewall rule usa como Destination zone a zona do servidor interno, por exemplo
DMZ. - Destination network continua a ser o IP público ou objeto WAN que o cliente contactou.
Se esta combinação estiver errada, a NAT rule pode parecer correta, mas a firewall rule continua sem fazer match.
Mais detalhes: Publicar servidor por DNAT na Sophos Firewall.
Verificar NAT rules
NAT não permite tráfego. NAT apenas traduz. É sempre necessária também uma firewall rule correspondente.
Em Rules and policies > NAT rules, verifica-se:
- A NAT rule correta está acima de NAT rules mais gerais?
- A regra está ativa?
- Original source, destination e service correspondem?
- Translated source, destination e service correspondem?
- Está a ser usado
MASQou um IP SNAT fixo? - Existe uma Linked NAT Rule que faz match inesperadamente?
- Existe uma regra SNAT genérica que faz match antes de uma regra mais específica?
Para ambientes simples, a Sophos recomenda geralmente NAT rules independentes em vez de criar uma Linked NAT Rule por cada firewall rule.
Mais detalhes: Compreender NAT na Sophos Firewall: SNAT, DNAT, MASQ, PAT.
Verificar routing e SD-WAN
Se a regra faz match, mas a ligação não funciona, routing pode ser o problema.
Verifica-se:
- Existe uma default route adequada?
- Existe uma route estática?
- Aplica-se uma SD-WAN route?
- O gateway está ativo?
- Existem rotas de retorno no sistema de destino ou na rede remota?
- O caminho de retorno é simétrico?
- O tráfego passa por VPN, MPLS ou outro interface diferente do esperado?
Importante: o Policy tester não representa completamente o SD-WAN routing. É muito útil para decisões de firewall, SSL/TLS e web policy, mas não substitui um teste real de fluxo de pacotes.
Mais detalhes: Alterar prioridade de routing na Sophos Firewall.
Ativar logging
Sem logs, o troubleshooting torna-se difícil. Verificam-se dois pontos:
- Na firewall rule, Log firewall traffic tem de estar ativo.
- Em System services > Log settings, o tipo de log correto tem de estar ativo localmente, para Sophos Central ou para syslog.
O Log viewer mostra normalmente sessões firewall quando a firewall termina uma ligação e recebe um evento Destroy. Se uma ligação à internet simplesmente cair, nem todas as sessões podem aparecer como esperado.
O Log Viewer abre-se no canto superior direito da consola WebAdmin. Filtros úteis:
- Source IP
- Destination IP
- Porta ou service
- Rule ID
- Rule name
- Action
- User
- NAT rule ID
Mais detalhes: Serviços e ficheiros de log da Sophos Firewall.
Usar Packet Capture
Se Log Viewer e contadores de regras não forem suficientes, usa-se Diagnostics > Packet capture.
A pergunta principal é:
| Observação | Significado |
|---|---|
| Nenhum pacote chega | Problema antes da firewall: cliente, switch, VLAN, gateway, provider, Cloud Security Group |
| Pacote entra, mas não sai | Verificar firewall rule, NAT, routing ou security feature |
| Pacote sai, mas não há resposta | Verificar rota de retorno, sistema de destino, NAT ou bloqueio externo |
Pacote aparece com Violation | Policy ou security feature bloqueia |
| Pacote mostra NAT ID e Rule ID | Comparar hits de regra e NAT de forma precisa |
Mais detalhes: Usar Packet Capture no WebAdmin.
Verificar security features individualmente
Se a regra faz match, mas a aplicação não funciona, pode intervir um perfil de proteção:
- Web Policy
- SSL/TLS inspection rule
- Decryption Profile
- IPS Policy
- Application Control
- Malware Scan
- Zero-day protection
- Security Heartbeat
- Traffic Shaping
Para testes, não se deve desativar tudo de forma permanente. É melhor verificar brevemente e com precisão, observar o Log Viewer e depois corrigir a causa. Para TLS Inspection, ajuda o artigo Implementar TLS Inspection na Sophos Firewall passo a passo.
Causas frequentes
| Sintoma | Causa provável |
|---|---|
| Contador da regra fica em 0 | Posição da regra, Source zone, Destination zone ou Service errados |
| Log mostra outra regra | Regra mais geral está acima |
| Nenhum log visível | Logging não ativo ou tráfego não chega à firewall |
| DNS funciona, web não | Verificar Service, Web Policy, TLS Inspection ou QUIC |
| HTTPS não é analisado | Nenhuma SSL/TLS inspection rule adequada ou CA não distribuída |
| DNAT não funciona | Firewall rule usa Destination zone ou Destination network errados |
| Tráfego VPN não faz match | Verificar zona VPN, route, tunnelinterface ou contexto XFRM |
| Apenas alguns utilizadores afetados | Verificar User Matching, grupo, SSO, Captive Portal ou Heartbeat |
Processo prático
- Anotar o problema com Source IP, destination, porta, user e hora.
- Verificar a posição da regra.
- Repor o contador da regra.
- Reproduzir o teste.
- Filtrar Log Viewer por Source IP e Destination IP.
- Verificar NAT rule e routing.
- Iniciar Packet Capture com filtro restrito.
- Verificar Security Profiles apenas de forma específica.
- Documentar a alteração.
Para um fluxo de teste combinado, ver Testar firewall rule com Log Viewer, Policy Test e Packet Capture.