Como saber qual regra de firewall do Windows está bloqueando o tráfego

10

Estou tentando configurar um computador para aceitar todo o tráfego de entrada, mas apenas permitir o tráfego de saída para um IP específico. Eu defini uma regra para permitir todas as regras de entrada e uma regra de permissão que especifica um endereço IP como o único endereço de saída aceitável. Eu também configurei uma regra de Saída de negação, assumindo que a outra regra terá precedência.

O problema que estou tendo é que todo o tráfego está sendo bloqueado, até mesmo o tráfego indo para o IP que eu especifiquei como sendo permitido.

Estou procurando uma maneira de rastrear o tráfego através do firewall e ver exatamente qual regra está bloqueando o tráfego. O log gerado pelo monitoramento do firewall informa que o tráfego foi interrompido, mas não qual regra o bloqueou.

    
por Josh 30.09.2016 / 16:59

1 resposta

14

(Nota: isso se aplica ao Windows 7 e pode ou não funcionar com versões mais recentes).

Os passos seguintes levam-no à regra de bloqueio da sua ligação:

  • Abra um console do Windows (com direitos de administração) para inserir comandos
  • Habilite a auditoria para a plataforma de filtragem do Windows (WFP):
    • comando de execução:% auditpol /set /subcategory:"Filtering Platform Packet Drop" /success:enable /failure:enable
    • comando de execução:% auditpol /set /subcategory:"Filtering Platform Connection" /success:enable /failure:enable
  • (Isso pode afogar você nos dados do Log de Eventos - habilitar somente auditorias de falha e possivelmente apenas falhas de conexão reduzirá o número de entradas de log. Seja seletivo sobre o que você realmente precisa)
  • Reproduza o problema
  • Executar comando: netsh wfp show state (isso cria um arquivo XML na pasta atual)
  • Abra o visualizador de eventos: Executar ( Windows + R ) > %código%
    • vá para "Registros do Windows" > "Segurança"
    • na lista, identifique o log de pacotes descartados (dica: use o recurso Pesquisar no menu direito, procurando itens (IP de origem, porta de destino, etc.) específico para o seu problema)
    • nos detalhes do log, role para baixo e observe o ID do filtro usado para bloquear o pacote
  • Abra o arquivo XML gerado:
    • pesquise o ID do filtro anotado e verifique o nome da regra (elemento "displayData > name" no nó XML correspondente)

Isso lhe dará um bom começo para encontrar a regra de bloqueio.

Quando terminar, não se esqueça de desativar a auditoria:

  • comando de execução:% eventvwr.msc
  • comando de execução:% auditpol /set /subcategory:"Filtering Platform Packet Drop" /success:disable /failure:disable

Observação: dependendo da configuração de idioma do Windows, o serviço de auditoria pode usar nomes diferentes do inglês. Para encontrar os nomes das subcategorias, execute o comando: auditpol /set /subcategory:"Filtering Platform Connection" /success:disable /failure:disable e encontre as subcategorias que correspondem a "Filtrando o pacote da plataforma" e "Filtrando a conexão da plataforma" no idioma do sistema.

    
por 02.11.2016 / 19:05