Come sapere quale regola del firewall di Windows sta bloccando il traffico

Sto cercando di configurare un computer per accettare tutto il traffico in entrata ma consentire solo il traffico in uscita verso un IP specifico. Ho impostato una regola Consenti tutto per In entrata e una Regola Consenti che specifica un indirizzo IP come unico indirizzo in uscita accettabile. Ho anche impostato un rifiuto di tutte le regole in uscita, supponendo che l'altra regola avrà la precedenza.

Il problema che sto riscontrando è che tutto il traffico viene bloccato, anche il traffico diretto all'IP che ho specificato è autorizzato.

Sto cercando un modo per tracciare il traffico attraverso il firewall e vedere esattamente quale regola sta bloccando il traffico. Il registro generato dal monitoraggio del firewall mi dice che il traffico è stato eliminato ma non quale regola lo ha bloccato.

(Nota: questo vale per Windows 7 e potrebbe non funzionare con le versioni più recenti.)

I seguenti passaggi ti condurranno alla regola che blocca la tua connessione:

• Aprire una console di Windows (con diritti di amministrazione) per immettere i comandi
• Abilita il controllo per Windows Filtering Platform (WFP):
  • esegui comando:
    auditpol /set /subcategory:"Filtering Platform Packet Drop" /success:enable /failure:enable
  • esegui comando:
    auditpol /set /subcategory:"Filtering Platform Connection" /success:enable /failure:enable
• (Questo potrebbe annegarti nei dati del registro eventi - abilitando solo i controlli degli errori, e forse solo gli errori di connessione ridurranno il numero di voci del registro. Sii selettivo su ciò di cui hai effettivamente bisogno)
• Riprodurre il problema
• Esegui comando: netsh wfp show state(questo crea un file XML nella cartella corrente)
• Apri il Visualizzatore eventi: Esegui ( Windows+ R)>eventvwr.msc
  • vai a "Registri di Windows"> "Sicurezza"
  • nell'elenco, identifica il registro dei pacchetti in calo (suggerimento: usa la funzione Cerca nel menu a destra, cerca elementi (IP di origine, porta di destinazione, ecc.) specifici per il tuo problema)
  • nei dettagli del registro, scorrere verso il basso e annotare l'ID filtro utilizzato per bloccare il pacchetto
• Apri il file XML generato:
  • cerca l'ID filtro indicato e controlla il nome della regola (elemento "displayData> nome" sul nodo XML corrispondente)

Questo ti darà un buon inizio per trovare la regola di blocco.

Al termine, non dimenticare di disattivare l'audit:

• esegui comando:
  auditpol /set /subcategory:"Filtering Platform Packet Drop" /success:disable /failure:disable
• esegui comando:
  auditpol /set /subcategory:"Filtering Platform Connection" /success:disable /failure:disable

Nota: a seconda dell'impostazione della lingua di Windows, il servizio di controllo potrebbe utilizzare nomi diversi non inglesi. Per trovare i nomi delle sottocategorie, eseguire il comando: auditpol /get /category:*e trovare le sottocategorie che corrispondono a "Droping pacchetto pacchetti piattaforma di filtro" e "Connessione piattaforma di filtro" nella lingua del sistema.