Cómo saber qué regla de firewall de Windows está bloqueando el tráfico

Estoy tratando de configurar una computadora para aceptar todo el tráfico entrante pero solo permitir el tráfico saliente a una IP específica. He establecido una regla de permitir todo para Entrante y una regla de Permitir que especifica una dirección IP como la única dirección Saliente aceptable. También configuré una regla de rechazo de todo saliente, asumiendo que la otra regla tendrá prioridad.

El problema que tengo es que todo el tráfico está bloqueado, incluso el tráfico que va a la IP que especifiqué como permitido.

Estoy buscando una manera de rastrear el tráfico a través del firewall y ver exactamente qué regla está bloqueando el tráfico. El registro generado por la supervisión del firewall me dice que el tráfico se cayó pero no qué regla lo bloqueó.

(Nota: esto se aplica a Windows 7 y puede o no funcionar con versiones más recientes).

Los siguientes pasos lo llevarán a la regla que bloquea su conexión:

• Abra una consola de Windows (con derechos de administración) para ingresar comandos
• Habilite la auditoría para la Plataforma de filtrado de Windows (PMA):
  • comando de ejecución:
    auditpol /set /subcategory:"Filtering Platform Packet Drop" /success:enable /failure:enable
  • comando de ejecución:
    auditpol /set /subcategory:"Filtering Platform Connection" /success:enable /failure:enable
• (Esto puede ahogarlo en los datos del registro de eventos, lo que permite solo auditorías de fallas y posiblemente solo fallas en la conexión reducirá la cantidad de entradas de registro. Sea selectivo sobre lo que realmente necesita)
• Reproduzca el problema
• Ejecutar comando: netsh wfp show state(esto crea un archivo XML en la carpeta actual)
• Abra el visor de eventos: Ejecute ( Windows+ R)>eventvwr.msc
  • vaya a "Registros de Windows"> "Seguridad"
  • en la lista, identifique el registro de paquetes que se caen (pista: use la función de búsqueda en el menú de la derecha, buscando elementos (IP de origen, puerto de destino, etc.) específicos para su problema)
  • en los detalles del registro, desplácese hacia abajo y observe la ID del filtro utilizada para bloquear el paquete
• Abra el archivo XML generado:
  • busque el filterID anotado y consulte el nombre de la regla (elemento "displayData> name" en el nodo XML correspondiente)

Esto le dará un buen comienzo para encontrar la regla de bloqueo.

Cuando haya terminado, no olvide apagar la auditoría:

• comando de ejecución:
  auditpol /set /subcategory:"Filtering Platform Packet Drop" /success:disable /failure:disable
• comando de ejecución:
  auditpol /set /subcategory:"Filtering Platform Connection" /success:disable /failure:disable

Nota: dependiendo de la configuración de idioma de Windows, el servicio de auditoría puede usar diferentes nombres que no están en inglés. Para encontrar los nombres de las subcategorías, ejecute el comando: auditpol /get /category:*y busque las subcategorías que corresponden a "Filtrado de caída de paquetes de plataforma" y "Filtrado de conexión de plataforma" en el idioma del sistema.