Cómo saber qué regla de firewall de Windows está bloqueando el tráfico

Estoy tratando de configurar una computadora para aceptar todo el tráfico entrante pero solo permitir el tráfico saliente a una IP específica. He establecido una regla de permitir todo para Entrante y una regla de Permitir que especifica una dirección IP como la única dirección Saliente aceptable. También configuré una regla de rechazo de todo saliente, asumiendo que la otra regla tendrá prioridad.

El problema que tengo es que todo el tráfico está bloqueado, incluso el tráfico que va a la IP que especifiqué como permitido.

Estoy buscando una manera de rastrear el tráfico a través del firewall y ver exactamente qué regla está bloqueando el tráfico. El registro generado por la supervisión del firewall me dice que el tráfico se cayó pero no qué regla lo bloqueó.

windows networking firewall

— Josh
fuente

A menudo también he querido hacer esto, pero parece que el firewall de Windows incorporado no tiene mucho que ofrecer a este respecto. Me interesaría saber si encuentra una solución para obtener un registro más detallado.

— David Woodward el

El firewall de Windows es realmente para proteger su PC de la red, no la red de su PC. La red debe tener su propio firewall para protegerlo.

— Ron Maupin el

(Nota: esto se aplica a Windows 7 y puede o no funcionar con versiones más recientes).

Los siguientes pasos lo llevarán a la regla que bloquea su conexión:

Abra una consola de Windows (con derechos de administración) para ingresar comandos
Habilite la auditoría para la Plataforma de filtrado de Windows (PMA):
- comando de ejecución:
  auditpol /set /subcategory:"Filtering Platform Packet Drop" /success:enable /failure:enable
- comando de ejecución:
  auditpol /set /subcategory:"Filtering Platform Connection" /success:enable /failure:enable
(Esto puede ahogarlo en los datos del registro de eventos, lo que permite solo auditorías de fallas y posiblemente solo fallas en la conexión reducirá la cantidad de entradas de registro. Sea selectivo sobre lo que realmente necesita)
Reproduzca el problema
Ejecutar comando: netsh wfp show state(esto crea un archivo XML en la carpeta actual)
Abra el visor de eventos: Ejecute ( Windows+ R)>eventvwr.msc
- vaya a "Registros de Windows"> "Seguridad"
- en la lista, identifique el registro de paquetes que se caen (pista: use la función de búsqueda en el menú de la derecha, buscando elementos (IP de origen, puerto de destino, etc.) específicos para su problema)
- en los detalles del registro, desplácese hacia abajo y observe la ID del filtro utilizada para bloquear el paquete
Abra el archivo XML generado:
- busque el filterID anotado y consulte el nombre de la regla (elemento "displayData> name" en el nodo XML correspondiente)

Esto le dará un buen comienzo para encontrar la regla de bloqueo.

Cuando haya terminado, no olvide apagar la auditoría:

comando de ejecución:
auditpol /set /subcategory:"Filtering Platform Packet Drop" /success:disable /failure:disable
comando de ejecución:
auditpol /set /subcategory:"Filtering Platform Connection" /success:disable /failure:disable

Nota: dependiendo de la configuración de idioma de Windows, el servicio de auditoría puede usar diferentes nombres que no están en inglés. Para encontrar los nombres de las subcategorías, ejecute el comando: auditpol /get /category:*y busque las subcategorías que corresponden a "Filtrado de caída de paquetes de plataforma" y "Filtrado de conexión de plataforma" en el idioma del sistema.

— Beto
fuente

Esto no lo llevará a ninguna parte si tiene habilitado el filtro de salida en el Firewall de Windows, porque entonces, todos los programas sin una regla explícita de permiso serán bloqueados por defecto. Por lo tanto, su programa podría no estar bloqueado por una regla de firewall en absoluto.

— Alexandru Dicu

Esto funcionó con Windows Server 2012 R2.

— AresAvatar

En mi caso, DisplayData-name dice Default Outbound, así que al menos estoy seguro de que mi regla de permiso se ignora, por lo que es un error el firewall de Microsoft.

— metablaster