Comment savoir quelle règle de pare-feu Windows bloque le trafic

J'essaie de configurer un ordinateur pour accepter tout le trafic entrant mais autoriser uniquement le trafic sortant vers une adresse IP spécifique. J'ai défini une règle Autoriser tout pour les appels entrants et une règle Autoriser qui spécifie une adresse IP comme seule adresse sortante acceptable. J'ai également mis en place une règle de refus de tous les messages sortants, en supposant que l'autre règle prévaudra.

Le problème que j'ai est que tout le trafic est bloqué, même le trafic allant vers l'IP que j'ai spécifié comme étant autorisé.

Je cherche un moyen de suivre le trafic à travers le pare-feu et de voir exactement quelle règle bloque le trafic. Le journal généré par la surveillance du pare-feu m'indique que le trafic a été abandonné mais pas quelle règle l'a bloqué.

(Remarque: cela s'applique à Windows 7 et peut ou non fonctionner avec les versions plus récentes.)

Les étapes suivantes vous mèneront à la règle bloquant votre connexion:

• Ouvrez une console Windows (avec des droits d'administration) pour entrer des commandes
• Activez l'audit pour la plateforme de filtrage Windows (WFP):
  • exécuter la commande:
    auditpol /set /subcategory:"Filtering Platform Packet Drop" /success:enable /failure:enable
  • exécuter la commande:
    auditpol /set /subcategory:"Filtering Platform Connection" /success:enable /failure:enable
• (Cela peut vous noyer dans les données du journal des événements - l'activation uniquement des audits d'échec, et éventuellement des échecs de connexion, réduira le nombre d'entrées de journal. Soyez sélectif sur ce dont vous avez réellement besoin)
• Reproduisez le problème
• Exécuter la commande: netsh wfp show state(cela crée un fichier XML dans le dossier actuel)
• Ouvrez l'observateur d'événements: Exécuter ( Windows+ R)>eventvwr.msc
  • allez dans "Journaux Windows"> "Sécurité"
  • dans la liste, identifiez le journal des paquets perdus (astuce: utilisez la fonction de recherche dans le menu de droite, recherchez les éléments (IP source, port de destination, etc.) spécifiques à votre problème)
  • dans les détails du journal, faites défiler vers le bas et notez l'ID de filtre utilisé pour bloquer le paquet
• Ouvrez le fichier XML généré:
  • recherchez le filterID noté et vérifiez le nom de la règle (élément "displayData> name" sur le nœud XML correspondant)

Cela vous donnera un bon début pour trouver la règle de blocage.

Lorsque vous avez terminé, n'oubliez pas de désactiver l'audit:

• exécuter la commande:
  auditpol /set /subcategory:"Filtering Platform Packet Drop" /success:disable /failure:disable
• exécuter la commande:
  auditpol /set /subcategory:"Filtering Platform Connection" /success:disable /failure:disable

Remarque: selon votre paramètre de langue Windows, le service d'audit peut utiliser différents noms non anglais. Pour rechercher les noms de sous-catégorie, exécutez la commande: auditpol /get /category:*et recherchez les sous-catégories qui correspondent à «Filtrage de la plate-forme de filtrage des paquets» et «Filtrage de la connexion à la plate-forme» dans le langage système.