Estou com um problema com o tráfego de um servidor webapp para um servidor de banco de dados bloqueado ou filtrado. Eu permiti tráfego de entrada e saída no ip e na porta necessários com uma regra de firewall, mas alguns pacotes / conexões ainda estão sendo bloqueados / descartados.
No log de eventos da ocorrência mais recente, vejo:
The Windows Filtering Platform has blocked a packet.
Application Information:
Process ID: 0
Application Name: -
Network Information:
Direction: Inbound
Source Address: redacted-webapp-ip
Source Port: 51888
Destination Address: redacted-database-ip
Destination Port: 1433
Protocol: 6
Filter Information:
Filter Run-Time ID: 72605
Layer Name: Transport
Layer Run-Time ID: 13
Com a saída de netsh wfp show state
, posso encontrar essas informações sobre o filtro que causou a queda:
<item>
<filterKey>{ccea04a9-00af-48c8-ba5e-ceba7bfc75ae}</filterKey>
<displayData>
<name>Port Scanning Prevention Filter</name>
<description>This filter prevents port scanning.</description>
</displayData>
<flags/>
<providerKey>{decc16ca-3f33-4346-be1e-8fb4ae0f3d62}</providerKey>
<providerData>
<data>ffffffffffffffff</data>
<asString>........</asString>
</providerData>
<layerKey>FWPM_LAYER_INBOUND_TRANSPORT_V4_DISCARD</layerKey>
<subLayerKey>{b3cdd441-af90-41ba-a745-7c6008ff2301}</subLayerKey>
<weight>
<type>FWP_UINT8</type>
<uint8>12</uint8>
</weight>
<filterCondition numItems="1">
<item>
<fieldKey>FWPM_CONDITION_FLAGS</fieldKey>
<matchType>FWP_MATCH_FLAGS_NONE_SET</matchType>
<conditionValue>
<type>FWP_UINT32</type>
<uint32>3</uint32>
</conditionValue>
</item>
</filterCondition>
<action>
<type>FWP_ACTION_CALLOUT_TERMINATING</type>
<calloutKey>FWPM_CALLOUT_WFP_TRANSPORT_LAYER_V4_SILENT_DROP</calloutKey>
</action>
<rawContext>0</rawContext>
<reserved/>
<filterId>72605</filterId>
<effectiveWeight>
<type>FWP_UINT64</type>
<uint64>13835058055315718144</uint64>
</effectiveWeight>
</item>
Alguém pode me apontar a direção certa para determinar a causa disso? Qualquer maneira de dizer o que está adicionando / adicionou este filtro?
Nenhum software antivírus foi instalado e não consegui localizar nenhum outro software que parecesse suspeito. Além do "Filtro de prevenção de varredura de portas", também vi um chamado "Usuário de consulta" (causando problemas semelhantes) que não consigo rastrear a origem de nenhum deles. (Outro tráfego legítimo fora deste exemplo é periodicamente bloqueado por esses tipos de filtros também.)