In diesem Artikel stellen wir einige Sophos Firewall CLI Kommandos vor - für die Console und die advanced Shell. Stöbert gerne durch. Vielleicht findet Ihr ja was neues! 😊
Einleitung
Die folgende Sophos Firewall CLI Kommandos für die Advanced Shell und Console sind alle mit den Versionen 19.x.x getestet. In Version 20+ sollten sie aber genauso funktionieren. Die Übersicht werde ich nach und nach erweitern.
Wir übernehmen keine Garantie für Probleme oder Schäden die durch die Nutzung der hier aufgelisteten Kommandos entstehen könnten!
Generell sollten Shell und Console nur durch erfahrene Personen genutzt werden. Im Zweifelsfall geht bitte auf Euren Sophos Partner zu.
Firewall Console
Hotfix Stand prüfen
Der Hotfix Stand lässt sich in der WebUI nicht überprüfen. Wer seinen aktuellen Hotfix Stand auf der Console prüfen will gibt hier folgendes ein:
system diagnostic show version-info
IP Länder Überprüfung
Ihr wollt zu einer bestimmte IP Adresse das zugehörige Land haben um das Regelwerk entsprechend zu optimieren? Die Console bietet eine Option dafür:
show country-host ip2country ipaddress 8.8.8.8
Advanced Shell
tcpdump
Für tcpdump haben wir einen extra Beitrag verfasst. Schaut gerne hier rein: Sophos Firewall Cookbook: tcpdump
conntrack mit lesbaren Zeitstempel
Leider bietet conntrack keine Möglichkeit die Zeitstempel in einem lesbaren Format anzeigen zu lassen. Mit einem Pipe Kommando lässt sich dies aber trotzdem lösen.
- ab "-o …" wird für den lesbaren Zeitstempel benötigt
- die Parameter davor (hier -E) könnt Ihr weiterhin nach Euren Anforderungen setzen
conntrack -E -o timestamp | awk -F "[\t]" '{ gsub(/(\[)/,"",$1) ;gsub(/(\])/,"",$1); print strftime("%c",$1) " " $2 }'
conntrack - Parameter und Felder
Das Tool conntrack ist sehr praktisch um offene oder neue Verbindungen der Sophos Firewall zu überprüfen. Eine kleine Dokumentation zu conntrack gibt es in einem Artikel von Sophos: Sophos Firewall: CLI Troubleshooting Tools
SSL Verbindung testen
Ihr wollt testen ob die Sophos Firewall selber eine SSL Verbindung aufbauen kann, oder ob das Zertifikat bei der Verbindung korrekt ist? Die Lösung ist openssl.
openssl s_client -connect sophos.com:443
Erkannten SFP Transceiver anzeigen
Ihr wollte wissen ob und welchen Transceiver die Sophos Firewall in einem SFP/SFP+ Port erkannt hat. Mit "ethtool" gehts.
ethtool -m PortF1
Schneller Wechsel in die Console
Jeder wird es kennen. Muss man häufiger zwischen Advanced Console und der Console hin und herspringen, wird es häufig lästig. Ich empfehle daher immer direkt in die Advanced Shell zu gehen. Hier gibt es zwei Kommandos mit denen man schnell in die Console wechseln kann! Mit Exit landet man anschließend wieder in der Advanced Shell. Super praktisch! 😊
cish
csh
CSC Dienst Debug
Der CSC Service lässt sich nicht mit dem bekannten "service" Kommando auf Debug setzen. Hier gibt es ein eigenen Kommando. Zum Deaktivieren einfach noch einmal den Befehl eingeben
csc custom debug
Prüfen ob Debug gesetzt oder deaktiviert wurde:
cat /log/csc.log | grep Toggling | tail -n 10
AKTIVIERT:
MESSAGE Oct 31 10:00:26Z [worker:11599]: Toggling log level to: MAX
DEAKTIVIERT
MESSAGE Oct 31 10:04:20Z [worker:23646]: Toggling log level to: WARNING
bwmon - Interface Bandbreiten Monitor
Mit "bwmon" lässt sich in der Shell die aktuelle Auslastung pro Interface anzeigen.
bwmon
Einmal gestartet wird die aktuelle Auslastung im 0,5 Sekunden Intervall dargestellt. Wenn Ihr "h" drückt bekommt Ihr eine kleine Hilfe angezeigt. Hier wird erläutert wie man die Abtastungsintervalle oder die Anzeige des Durchsatzes anpassen kann.
showfw - Versionen in Firmwareslots anzeigen
showfw zeigt die Firmwareversionen in den beiden Firmwareslots an.
Webadmin Port anzeigen
Ihr habt einen Shell Zugriff, aber wisst nicht auf welchem Port das Webinterface läuft? Mit einer Datenbankabfrage lässt sich der konfigurierte Ports herausfinden.
psql -U nobody -d corporate -c "select destinationport from tbllocalservicedetails WHERE localserviceid =2"
Danke, für die Auflistung. Sind ein paar neue Sachen bei für mich. Gibt es eine zweiten Teil?
Hallo Manfred,
Freut mich. Ja, der zweite ist in Arbeit. Das wird aber noch ein paar Wochen dauern. Schau einfach regelmäßig vorbei. 😊
Gruß,
Sebastian
Great info, looking forward to part 2, hopefully with opcode. 🙂 Also, drppkt is a very useful tool, which could be mentioned either here or in the tcpdump article.
Thank you for your feedback. I am currently working on 2-3 articles for the CLI which will also replace the old one. I hope to be ready in November. opcode would also be very cool, but unfortunately Sophos itself is very secretive about it and you only get a little information here. But I am already collecting 😉