10

Я пытаюсь настроить компьютер так, чтобы он принимал весь входящий трафик, но разрешал только исходящий трафик с определенного IP-адреса. Я установил правило «разрешить все» для «Входящего» и правило «Разрешить», в котором IP-адрес указывается в качестве единственного приемлемого исходящего адреса. Я также настроил запретить все исходящие правила, предполагая, что другое правило будет иметь приоритет.

У меня проблема в том, что весь трафик блокируется, даже трафик, идущий на IP-адрес, который я указал как разрешенный.

Я ищу способ отследить трафик через брандмауэр и точно узнать, какое правило блокирует трафик. Журнал, сгенерированный мониторингом брандмауэра, говорит мне, что трафик был отброшен, но не то, какое правило заблокировало его.

|источник

1 ответ1

14

(Примечание: это относится к Windows 7 и может работать, а может и не работать с более новыми версиями.)

Следующие шаги приведут вас к правилу, блокирующему ваше соединение:

  • Откройте консоль Windows (с правами администратора) для ввода команд
  • Включите аудит для платформы фильтрации Windows (WFP):
    • Команда запуска:
      auditpol /set /subcategory:"Filtering Platform Packet Drop" /success:enable /failure:enable
    • Команда запуска:
      auditpol /set /subcategory:"Filtering Platform Connection" /success:enable /failure:enable
  • (Это может утопить вас в данных журнала событий - включение только аудита сбоев, и, возможно, только сбои подключения уменьшат количество записей в журнале. Будьте внимательны к тому, что вам на самом деле нужно)
  • Воспроизведите проблему
  • Команда запуска: netsh wfp show state (это создает файл XML в текущей папке)
  • Откройте средство просмотра событий: "Выполнить" (Windows+R)> eventvwr.msc
    • перейдите в "Журналы Windows"> "Безопасность"
    • в списке найдите журнал сбрасываемых пакетов (подсказка: используйте функцию поиска в правом меню, ища элементы (IP-адрес источника, порт назначения и т. д.) конкретно к вашей проблеме)
    • в деталях журнала прокрутите вниз и запишите идентификатор фильтра, используемый для блокировки пакета
  • Откройте сгенерированный файл XML:
    • найдите указанный идентификатор фильтра и проверьте имя правила (элемент «displayData> name» на соответствующем узле XML)

Это даст вам хорошее начало для поиска правила блокировки.

Когда вы закончите, не забудьте отключить аудит:

  • Команда запуска:
    auditpol /set /subcategory:"Filtering Platform Packet Drop" /success:disable /failure:disable
  • Команда запуска:
    auditpol /set /subcategory:"Filtering Platform Connection" /success:disable /failure:disable

Примечание. В зависимости от настроек языка Windows служба аудита может использовать разные неанглийские имена. Чтобы найти имена подкатегорий, выполните команду: auditpol /get /category:* и найдите подкатегории, которые соответствуют "Отбрасыванию пакетов платформы фильтрации" и "Соединению платформы фильтрации" на языке системы.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .