Как определить, какое правило брандмауэра Windows блокирует трафик

Я пытаюсь настроить компьютер так, чтобы он принимал весь входящий трафик, но разрешал только исходящий трафик с определенного IP-адреса. Я установил правило «разрешить все» для «Входящего» и правило «Разрешить», в котором IP-адрес указывается в качестве единственного приемлемого исходящего адреса. Я также настроил запретить все исходящие правила, предполагая, что другое правило будет иметь приоритет.

У меня проблема в том, что весь трафик блокируется, даже трафик, идущий на IP-адрес, который я указал как разрешенный.

Я ищу способ отследить трафик через брандмауэр и точно узнать, какое правило блокирует трафик. Журнал, сгенерированный мониторингом брандмауэра, говорит мне, что трафик был отброшен, но не какое правило заблокировало его.

windows networking firewall

— мистифицировать
источник

Я тоже часто хотел это сделать, но кажется, что встроенный брандмауэр Windows не может предложить в этом отношении что-то особенное. Мне было бы интересно узнать, если вы найдете решение для получения более подробной регистрации.

— Дэвид Вудворд

Брандмауэр Windows действительно защищает ваш компьютер от сети, а не от компьютера. Сеть должна иметь свой собственный брандмауэр для его защиты.

— Рон Мопин

(Примечание: это относится к Windows 7 и может работать, а может и не работать с более новыми версиями.)

Следующие шаги приведут вас к правилу, блокирующему ваше соединение:

Откройте консоль Windows (с правами администратора) для ввода команд
Включите аудит для платформы фильтрации Windows (WFP):
- Команда Run:
  auditpol /set /subcategory:"Filtering Platform Packet Drop" /success:enable /failure:enable
- Команда Run:
  auditpol /set /subcategory:"Filtering Platform Connection" /success:enable /failure:enable
(Это может утопить вас в данных журнала событий - включение только аудита сбоев, и, возможно, только сбои соединений уменьшат количество записей в журнале. Будьте внимательны к тому, что вам действительно нужно)
Воспроизведите проблему
Выполнить команду: netsh wfp show state(это создает файл XML в текущей папке)
Откройте средство просмотра событий: Выполнить ( Windows+ R)>eventvwr.msc
- перейдите в «Журналы Windows»> «Безопасность»
- в списке определите журнал сбрасываемых пакетов (подсказка: используйте функцию поиска в правом меню, ища элементы (IP-адрес источника, порт назначения и т. д.), относящиеся к вашей проблеме)
- в деталях журнала прокрутите вниз и запишите идентификатор фильтра, используемый для блокировки пакета
Откройте сгенерированный файл XML:
- найдите указанный идентификатор фильтра и проверьте имя правила (элемент «displayData> name» в соответствующем узле XML)

Это даст вам хорошее начало для поиска правила блокировки.

Когда вы закончите, не забудьте отключить аудит:

Команда Run:
auditpol /set /subcategory:"Filtering Platform Packet Drop" /success:disable /failure:disable
Команда Run:
auditpol /set /subcategory:"Filtering Platform Connection" /success:disable /failure:disable

Примечание. В зависимости от настроек языка Windows служба аудита может использовать разные неанглийские имена. Чтобы найти имена подкатегорий, выполните команду: auditpol /get /category:*и найдите подкатегории, которые соответствуют «Отбрасыванию пакетов платформы фильтрации» и «Соединению платформы фильтрации» на языке системы.

— боб
источник

Это ни к чему не приведет, если в брандмауэре Windows включена фильтрация исходящих сообщений, поскольку тогда все программы без явного правила разрешения будут по умолчанию заблокированы. Таким образом, ваша программа может вообще не блокироваться правилом брандмауэра.

— Александру Дику

Это работало с Windows Server 2012 R2.

— AresAvatar

В моем случае DisplayData-name говорит Default Outbound, так что, по крайней мере, я уверен, что мое правило разрешения игнорируется, поэтому это ошибка брандмауэра Microsoft.

— Метабластер