Hoppa till innehållet
Avanet

Sophos Firewall-regel matchar inte: kontrollera orsaker

Sophos Firewall

När en firewall rule inte matchar är brandväggen sällan “trasig”. Oftast stämmer inte ett villkor, en mer generell regel ligger ovanför, NAT ändrar hur trafiken ses, User Matching är inte uppfyllt eller logging är inte korrekt aktiverad.

Denna checklista hjälper till att arbeta systematiskt i stället för att ändra regler slumpmässigt.

Första principen: första matchande regeln vinner

Sophos Firewall behandlar firewall rules uppifrån och ned. Så snart en regel matchar kontrolleras inte efterföljande regler. Samma grundprincip gäller även NAT rules.

Viktigt:

  • Positionen i listan avgör utvärderingen.
  • Rule ID är bara en referens och säger inget om den aktuella ordningen.
  • Rule groups hjälper till med översikten, men är ingen separat matchlogik.
  • En generell regel ovanför kan helt “svälja” en mer specifik regel under.

Om en regel inte matchar kontrollerar man därför positionen först.

Sophos Firewall firewall rules med markerad regelordning
Positionen i listan med firewall rules avgör utvärderingen. Första matchande regeln vinner, inte lägsta Rule ID.

Återställ regelräknaren

Vid oklara träffar hjälper det att återställa regelräknaren.

  1. Öppna Rules and policies > Firewall rules.
  2. Leta upp den berörda regeln.
  3. Öppna menyn med tre punkter.
  4. Välj Reset data transfer count.
  5. Reproducera trafiken.
  6. Kontrollera om räknaren ökar.
Sophos Firewall trepunktsmeny med Reset data transfer count
Reset data transfer count återställer regelräknaren. Efteråt syns det tydligare om den nya testtrafiken verkligen landar på denna regel.

Om räknaren inte ökar matchar regeln inte. Om den ökar men applikationen ändå inte fungerar ligger problemet oftare i Security Profiles, NAT, routing, returväg eller målsystem.

Kontrollera matchningsfält

En firewall rule matchar bara när alla relevanta kriterier stämmer.

FältTypiska fel
Source zonesFel zon, VLAN ligger i annan zon, VPN-trafik kommer från VPN
Source networks and devicesFel objekt, fel IP, ofullständig host group
Destination zonesFel målzon, särskilt vid DNAT eller VPN
Destination networksPre-NAT- och post-NAT-vy förväxlas
ServicesPort saknas, TCP/UDP förväxlas, applikationen använder extra portar
Users or groupsAnvändaren är inte autentiserad eller fel grupp
ScheduleSchedule gäller inte just nu
ExclusionsTrafik undantas från regeln och behandlas längre ned
Sophos Firewall-regel med Source, Destination and services
En firewall rule matchar bara när Source zone, Source networks and devices, Destination zones, Destination networks, Services och Schedule stämmer samtidigt.

För webbtrafik bör man även kontrollera om QUIC är aktivt. Om webbläsartrafik skickas via UDP 443 beter sig vissa förväntningar kring webbfilter och scanning annorlunda än klassisk HTTPS över TCP.

Mer information: Sophos Firewall och QUIC-protokollet.

Läs DNAT korrekt

Vid DNAT är vyn i firewall rules särskilt viktig. Som tumregel:

Firewall rules för DNAT-trafik använder målzonen efter NAT, men mål-IP före NAT.

Exempel:

  • En extern klient ansluter till brandväggens WAN-IP.
  • NAT översätter till en intern server i DMZ.
  • Firewall rule använder zonen för den interna servern som Destination zone, till exempel DMZ.
  • Destination network förblir den publika IP-adressen eller WAN-objektet som klienten kontaktade.

Om denna kombination är fel kan NAT rule se korrekt ut, men firewall rule matchar ändå inte.

Mer information: Publicera en server via DNAT på Sophos Firewall.

Kontrollera NAT rules

NAT tillåter ingen trafik. NAT översätter bara. Det behövs alltid också en matchande firewall rule.

Under Rules and policies > NAT rules kontrollerar man:

  • Ligger rätt NAT rule ovanför mer generella NAT rules?
  • Är regeln aktiv?
  • Stämmer Original source, destination och service?
  • Stämmer Translated source, destination och service?
  • Används MASQ eller en fast SNAT-IP?
  • Finns en Linked NAT Rule som matchar oväntat?
  • Finns en generell SNAT-regel som matchar före en mer specifik regel?

För enkla miljöer rekommenderar Sophos oftast fristående NAT rules i stället för att skapa en Linked NAT Rule per firewall rule.

Mer information: Förstå NAT på Sophos Firewall: SNAT, DNAT, MASQ, PAT.

Kontrollera routing och SD-WAN

Om regeln matchar men anslutningen inte fungerar kan routing vara problemet.

Då kontrollerar man:

  • Finns en passande default route?
  • Finns en statisk route?
  • Matchar en SD-WAN route?
  • Är gateway aktiv?
  • Finns returvägar på målsystemet eller i fjärrnätet?
  • Är returvägen symmetrisk?
  • Går trafiken via VPN, MPLS eller ett annat interface än väntat?

Viktigt: Policy tester återger inte SD-WAN-routing fullständigt. Den är mycket användbar för firewall-, SSL/TLS- och web policy-beslut, men ersätter inte ett verkligt paketflödestest.

Mer information: Ändra routingprioritet i Sophos Firewall.

Aktivera logging

Utan loggar blir troubleshooting svårt. Man kontrollerar två ställen:

  1. I firewall rule måste Log firewall traffic vara aktiverat.
  2. Under System services > Log settings måste rätt loggtyp vara aktiverad lokalt, för Sophos Central eller för syslog.

Log viewer visar normalt firewall-sessioner när brandväggen avslutar en anslutning och får ett Destroy-event. Om en internetanslutning bara bryts kan det hända att inte varje session visas som förväntat.

Log Viewer öppnas uppe till höger i WebAdmin-konsolen. Användbara filter är:

  • Source IP
  • Destination IP
  • Port eller service
  • Rule ID
  • Rule name
  • Action
  • User
  • NAT rule ID
Sophos Firewall Log Viewer med Firewall rule ID och NAT rule ID
I Log Viewer syns vilken Firewall Rule ID och NAT Rule ID som behandlade trafiken. Det är ofta snabbare än att bara söka efter regelnamn eller IP-adress.

Mer information: Sophos Firewall-tjänster och loggfiler.

Använd Packet Capture

Om Log Viewer och regelräknare inte räcker använder man Diagnostics > Packet capture.

Den viktigaste frågan är:

Sophos Firewall Packet Capture med BPF-filter, NAT ID och Rule ID
Packet Capture visar om paket anländer, vilket interface de går via och vilken NAT ID eller Rule ID som syns. BPF-filtret håller utdata liten och läsbar.
ObservationBetydelse
Inget paket anländerProblemet ligger före brandväggen: klient, switch, VLAN, gateway, provider, Cloud Security Group
Paket kommer in men går inte utKontrollera firewall rule, NAT, routing eller security feature
Paket går ut men inget svar kommer tillbakaKontrollera returroute, målsystem, NAT eller extern blockering
Paket visas med ViolationPolicy eller security feature blockerar
Paket visar NAT ID och Rule IDJämför regel- och NAT-träffar exakt

Mer information: Använd Packet Capture i WebAdmin.

Kontrollera security features individuellt

Om regeln matchar men applikationen inte fungerar kan en skyddsprofil ingripa:

  • Web Policy
  • SSL/TLS inspection rule
  • Decryption Profile
  • IPS Policy
  • Application Control
  • Malware Scan
  • Zero-day protection
  • Security Heartbeat
  • Traffic Shaping

För tester bör man inte inaktivera allt permanent. Bättre är att kontrollera kort och specifikt, bevaka Log Viewer och sedan åtgärda grundorsaken. För TLS Inspection hjälper artikeln Rulla ut TLS Inspection på Sophos Firewall stegvis.

Vanliga orsaker

SymptomSannolik orsak
Regelräknaren stannar på 0Regelposition, Source zone, Destination zone eller Service är fel
Loggen visar annan regelEn mer generell regel ligger ovanför
Ingen logg synsLogging är inte aktiv eller trafiken når inte brandväggen
DNS fungerar, webben inteKontrollera Service, Web Policy, TLS Inspection eller QUIC
HTTPS skannas inteIngen matchande SSL/TLS inspection rule eller CA inte distribuerad
DNAT fungerar inteFirewall rule använder fel Destination zone eller Destination network
VPN-trafik matchar inteKontrollera zon VPN, route, tunnelinterface eller XFRM-context
Bara vissa användare påverkasKontrollera User Matching, grupp, SSO, Captive Portal eller Heartbeat

Praktiskt förlopp

  1. Notera problemet med Source IP, destination, port, user och tid.
  2. Kontrollera regelposition.
  3. Återställ regelräknare.
  4. Reproducera testet.
  5. Filtrera Log Viewer efter Source IP och Destination IP.
  6. Kontrollera NAT rule och routing.
  7. Starta Packet Capture med snävt filter.
  8. Kontrollera Security Profiles endast specifikt.
  9. Dokumentera ändringen.

För ett kombinerat testflöde, se Testa firewall rule med Log Viewer, Policy Test och Packet Capture.

Mer information