
In diesem Artikel stellen wir einige Sophos Firewall CLI Kommandos vor – fĂŒr die Console und die advanced Shell. Stöbert gerne durch. Vielleicht findet Ihr ja was neues! đ
Einleitung
Die folgende Sophos Firewall CLI Kommandos fĂŒr die Advanced Shell und Console sind alle mit den Versionen 19.x.x getestet. In Version 20+ sollten sie aber genauso funktionieren. Die Ăbersicht werde ich nach und nach erweitern.
Wir ĂŒbernehmen keine Garantie fĂŒr Probleme oder SchĂ€den die durch die Nutzung der hier aufgelisteten Kommandos entstehen könnten!
Generell sollten Shell und Console nur durch erfahrene Personen genutzt werden. Im Zweifelsfall geht bitte auf Euren Sophos Partner zu.
Firewall Console
Hotfix Stand prĂŒfen
Der Hotfix Stand lĂ€sst sich in der WebUI nicht ĂŒberprĂŒfen. Wer seinen aktuellen Hotfix Stand auf der Console prĂŒfen will gibt hier folgendes ein:
system diagnostic show version-info
IP LĂ€nder ĂberprĂŒfung
Ihr wollt zu einer bestimmte IP Adresse das zugehörige Land haben um das Regelwerk entsprechend zu optimieren? Die Console bietet eine Option dafĂŒr:
show country-host ip2country ipaddress 8.8.8.8
Advanced Shell
tcpdump
FĂŒr tcpdump haben wir einen extra Beitrag verfasst. Schaut gerne hier rein: Sophos Firewall Cookbook: tcpdump
conntrack mit lesbaren Zeitstempel
Leider bietet conntrack keine Möglichkeit die Zeitstempel in einem lesbaren Format anzeigen zu lassen. Mit einem Pipe Kommando lÀsst sich dies aber trotzdem lösen.
- ab „-o ⊓ wird fĂŒr den lesbaren Zeitstempel benötigt
- die Parameter davor (hier -E) könnt Ihr weiterhin nach Euren Anforderungen setzen
conntrack -E -o timestamp | awk -F "[\t]" '{ gsub(/(\[)/,"",$1) ;gsub(/(\])/,"",$1); print strftime("%c",$1) " " $2 }'
conntrack – Parameter und Felder
Das Tool conntrack ist sehr praktisch um offene oder neue Verbindungen der Sophos Firewall zu ĂŒberprĂŒfen. Eine kleine Dokumentation zu conntrack gibt es in einem Artikel von Sophos: Sophos Firewall: CLI Troubleshooting Tools
SSL Verbindung testen
Ihr wollt testen ob die Sophos Firewall selber eine SSL Verbindung aufbauen kann, oder ob das Zertifikat bei der Verbindung korrekt ist? Die Lösung ist openssl.
openssl s_client -connect sophos.com:443
Erkannten SFP Transceiver anzeigen
Ihr wollte wissen ob und welchen Transceiver die Sophos Firewall in einem SFP/SFP+ Port erkannt hat. Mit „ethtool“ gehts.
ethtool -m PortF1
Schneller Wechsel in die Console
Jeder wird es kennen. Muss man hĂ€ufiger zwischen Advanced Console und der Console hin und herspringen, wird es hĂ€ufig lĂ€stig. Ich empfehle daher immer direkt in die Advanced Shell zu gehen. Hier gibt es zwei Kommandos mit denen man schnell in die Console wechseln kann! Mit Exit landet man anschlieĂend wieder in der Advanced Shell. Super praktisch! đ
cish
csh
CSC Dienst Debug
Der CSC Service lĂ€sst sich nicht mit dem bekannten „service“ Kommando auf Debug setzen. Hier gibt es ein eigenen Kommando. Zum Deaktivieren einfach noch einmal den Befehl eingeben
csc custom debug
PrĂŒfen ob Debug gesetzt oder deaktiviert wurde:
cat /log/csc.log | grep Toggling | tail -n 10
AKTIVIERT:
MESSAGE Oct 31 10:00:26Z [worker:11599]: Toggling log level to: MAX
DEAKTIVIERT
MESSAGE Oct 31 10:04:20Z [worker:23646]: Toggling log level to: WARNING
bwmon – Interface Bandbreiten Monitor
Mit „bwmon“ lĂ€sst sich in der Shell die aktuelle Auslastung pro Interface anzeigen.
bwmon
Einmal gestartet wird die aktuelle Auslastung im 0,5 Sekunden Intervall dargestellt. Wenn Ihr „h“ drĂŒckt bekommt Ihr eine kleine Hilfe angezeigt. Hier wird erlĂ€utert wie man die Abtastungsintervalle oder die Anzeige des Durchsatzes anpassen kann.


showfw – Versionen in Firmwareslots anzeigen
showfw zeigt die Firmwareversionen in den beiden Firmwareslots an.

Webadmin Port anzeigen
Ihr habt einen Shell Zugriff, aber wisst nicht auf welchem Port das Webinterface lÀuft? Mit einer Datenbankabfrage lÀsst sich der konfigurierte Ports herausfinden.
psql -U nobody -d corporate -c "select destinationport from tbllocalservicedetails WHERE localserviceid =2"
Danke, fĂŒr die Auflistung. Sind ein paar neue Sachen bei fĂŒr mich. Gibt es eine zweiten Teil?
Hallo Manfred,
Freut mich. Ja, der zweite ist in Arbeit. Das wird aber noch ein paar Wochen dauern. Schau einfach regelmĂ€Ăig vorbei. đ
GruĂ,
Sebastian
Great info, looking forward to part 2, hopefully with opcode. đ Also, drppkt is a very useful tool, which could be mentioned either here or in the tcpdump article.
Thank you for your feedback. I am currently working on 2-3 articles for the CLI which will also replace the old one. I hope to be ready in November. opcode would also be very cool, but unfortunately Sophos itself is very secretive about it and you only get a little information here. But I am already collecting đ