Как определить, какое правило брандмауэра Windows блокирует трафик

Я пытаюсь настроить компьютер на прием всего входящего трафика, но разрешаю только исходящий трафик на определенный IP. Я установил правило allow all для входящих и правило Allow, которое определяет IP-адрес как единственный приемлемый исходящий адрес. Я также настроил правило deny all Outgoing, предполагая, что другое правило будет иметь приоритет.

проблема у меня в том, что весь трафик блокируется, даже трафик, идущий на IP, который я указал как являющийся разрешенный.

Я ищу способ отслеживать трафик через брандмауэр и точно видеть, какое правило блокирует трафик. Журнал, сгенерированный мониторингом брандмауэра, говорит мне, что трафик был удален, но не какое правило заблокировало его.

19
задан Ƭᴇcʜιᴇ007
01.05.2023 12:52 Количество просмотров материала 3699
Распечатать страницу

1 ответ

(Примечание: это относится к Windows 7 и может или не может работать с новыми версиями.)

следующие шаги приведут вас к правилу блокировки подключения:

  • открыть консоль Windows (с правами администратора) для ввода команд
  • включить аудит для платформы фильтрации Windows (WFP):
    • выполнить команду:

      auditpol /set /subcategory:"Filtering Platform Packet Drop" /success:enable /failure:enable
    • выполнить команду:

      auditpol /set /subcategory:"Filtering Platform Connection" /success:enable /failure:enable
  • (это может утопить вас в данных журнала событий - включение только аудит отказов, и, возможно, только сбои подключения уменьшит количество записей журнала. Будьте избирательны в том, что вам действительно нужно)
  • воспроизвести проблему
  • выполнить команду: netsh wfp show state (создает XML-файл в текущей папке)
  • открыть окно просмотра событий: Run (Windows+R)>eventvwr.msc
    • перейти в " Windows журналы" > "безопасность"
    • в списке, определите падая журнал пакета (подсказку: используйте особенность поиска на правом меню, ища для деталей (ИП источника, порта назначения, ЕТК.) конкретно на ваш вопрос)
    • в деталях журнала прокрутите вниз и обратите внимание на идентификатор фильтра, используемый для блокировки пакета
  • открыть сгенерированный XML-файл:
    • поиск отмечено filterID, и проверьте имя правила (элемент "displayData > имя" на соответствующий XML-узел)

это даст вам хорошее начало, чтобы найти правило блокировки.

когда закончите, не забудьте выключить аудит:

  • выполнить команду:

    auditpol /set /subcategory:"Filtering Platform Packet Drop" /success:disable /failure:disable
  • выполнить команду:

    auditpol /set /subcategory:"Filtering Platform Connection" /success:disable /failure:disable

Примечание: в зависимости от языковых параметров Windows служба аудита может использовать разные имена, отличные от английских. Найти имена подкатегорий, выполните команду:auditpol /get /category:* и найдите подкатегории, которые соответствуют "отбрасыванию пакетов платформы фильтрации" и "подключению платформы фильтрации" на системном языке.

14
отвечен Bob 2023-05-02 20:40

Постоянная ссылка на данную страницу: [ Скопировать ссылку | Сгенерировать QR-код ]

Ваш ответ

Опубликуйте как Гость или авторизуйтесь

Имя
Мы используем cookie. Это позволяет нам анализировать взаимодействие посетителей с сайтом и делать его лучше. Продолжая пользоваться сайтом, вы соглашаетесь с использованием файлов cookie. Политика конфиденциальности
Согласен
Вверх