Wie Sie feststellen, welche Windows-Firewall-Regel den Datenverkehr blockiert

Ich versuche, einen Computer so einzurichten, dass er den gesamten eingehenden Datenverkehr akzeptiert, aber nur ausgehenden Datenverkehr zu einer bestimmten IP zulässt. Ich habe eine allow all-Regel für eingehende und eine Allow-Regel festgelegt, die eine IP-Adresse als einzige akzeptable ausgehende Adresse angibt. Ich habe auch eine deny all Outgoing-Regel eingerichtet, unter der Annahme, dass die andere Regel Vorrang hat.

Das Problem, das ich habe, ist, dass der gesamte Datenverkehr blockiert wird, sogar der Datenverkehr, der zu der IP geht, die ich als dürfen.

Ich suche nach einer Möglichkeit, den Datenverkehr über die Firewall zu verfolgen und genau zu sehen, welche Regel den Datenverkehr blockiert. Das von der Firewall-Überwachung generierte Protokoll teilt mir mit, dass der Datenverkehr gelöscht wurde, nicht jedoch, welche Regel ihn blockiert hat.

Author: Ƭᴇcʜιᴇ007, 2016-09-30
Source

1 answers

(Hinweis: Diese Methode funktioniert zumindest unter Windows 7, 10 Pro, Server 2012 R2)

Die folgenden Schritte führen Sie zu der Regel, die Ihre Verbindung blockiert:

  • Öffnen Sie eine Windows-Konsole (mit Administratorrechten), um Befehle einzugeben
  • Aktivieren Sie das Audit für Windows Filtering Platform (WFP):
  • Befehl ausführen:
    auditpol /set /subcategory:"Filtering Platform Packet Drop" /success:enable /failure:enable
  • Befehl ausführen:
    auditpol /set /subcategory:"Filtering Platform Connection" /success:enable /failure:enable
  • (Dies kann Sie in Ereignisprotokolldaten ertränken - nur Fehleraudits aktivieren, und möglicherweise reduzieren nur Verbindungsfehler die Anzahl der Protokolleinträge. Seien Sie selektiv über das, was Sie tatsächlich brauchen)
  • Reproduzieren Sie das Problem
  • Befehl ausführen: netsh wfp show state (dadurch wird eine XML-Datei im aktuellen Ordner erstellt)
  • Öffnen Sie die Ereignisanzeige: Run ()+ R) > eventvwr.msc
    • {[14],} gehe zu "Windows-Protokolle" > "Security"
  • Identifizieren Sie in der Liste das ablegende Paketprotokoll (Hinweis: Verwenden Sie die Suchfunktion im rechten Menü, um nach Elementen zu suchen (Quell-IP, zielhafen usw.) spezifisch für Ihr Problem)
  • scrollen Sie in den Protokolldetails nach unten und notieren Sie sich die Filter-ID, die zum Blockieren des Pakets verwendet wird
  • Öffnen Sie die generierte XML-Datei:
  • Suchen Sie nach der angegebenen filterID und überprüfen Sie den Regelnamen (Element "displayData > name" auf dem entsprechenden XML-Knoten)

Dies gibt Ihnen einen guten Start, um die Blockierregel zu finden.

Wenn Sie fertig sind, vergessen Sie nicht, das Audit auszuschalten:

  • ausführen Befehl:
    auditpol /set /subcategory:"Filtering Platform Packet Drop" /success:disable /failure:disable
  • Befehl ausführen:
    auditpol /set /subcategory:"Filtering Platform Connection" /success:disable /failure:disable

Hinweis: Abhängig von Ihrer Windows-Spracheinstellung verwendet der Überwachungsdienst möglicherweise andere nicht englische Namen. Um die Unterkategoriennamen zu finden, führen Sie den Befehl: auditpol /get /category:* aus und suchen Sie nach Unterkategorien, die in der Systemsprache "Filtering Platform Packet Drop" und "Filtering Platform Connection" entsprechen.

 34
Author: Bob,
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/techietown.info/template/agent.layouts/content.php on line 61
2020-07-21 13:04:31