none
为什么Windows防火墙全部允许通讯了,UWP应用发送的数据包还是会被drop掉? RRS feed

  • 问题

  • 公司一个自开发的UWP应用,会通过http协议访问应用服务器的TCP8401端口,但在客户端上始终无法跟服务器通讯。

    检查客户端的Windows防火墙日志发现,这个应用的访问请求数据包确实是被防火墙drop掉的。但添加了应用允许访问的防火墙策略,依然会被drop掉。不管是针对应用,还是针对目标IP、端口,乃至将防火墙全部开放,防火墙日志显示该应用的http请求都会被drop掉。

    不知道这是什么原因?是否Windows有内置隐藏的防火墙策略?该如何解决?

    2020年9月21日 8:26

全部回复

  • Hi ,

    由于deny 规则的优先级高于同优先级的allow规则,请首先确保没有相关的deny的规则在生效。另外帮忙确认一下以下的内容:

    1.当前是windows 10的什么系统版本? 1909还是2004? 有更换成其他的系统版本测试过是否有相同的情况吗?比如说windows 7或者是windows 8.1的系统版本。

    2.如果禁用掉两边的防火墙的话,客户端是否可以和服务器正常通讯?

    3.telnet对方的8401端口通吗?

    4.>>添加了应用允许访问的防火墙策略

    有没有在入站规则或者是进站规则里面都添加看一下? 因为虽然说是在客户端上的防火墙日志上发现包被drop掉的,也有可能是包没有出去直接被drop了,也有可能是包出去了但是进来的时候直接被drop掉了。

    5.将允许访问的防火墙策略profile配置成ALL看看。

    此致

    Candy


    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com   

    2020年9月22日 6:49
  • Hi Candy,

    感谢你的回复。

    我确认防火墙策略中没有任何Deny的策略,而且外发策略默认也是放行的。

    Windows 10的是企业长期支持版(LTSC)1809,补丁都更新到最新的2020-09月度累积更新,我也换成过专业版2004试过,同样不行。这个UWP应用Win7上运行不了,我们没有Win8.1的环境。

    两边的防火墙都禁用的话,也是不能通讯,但从网络防火墙上看,没有从客户端发出的这个应用的包。启用了防火墙,就可以在客户端防火墙log中看到,这个应用向服务器发出的包被drop掉了。

    我试过在出入站规则中都添加了全部允许的规则,仍然不行。

    奇怪的是,客户端默认是加AD域的都不行,退域后就能正常通讯了。域策略中没有任何防火墙的策略,我单独创建一个OU屏蔽掉所有组策略,将客户端电脑加入该OU,仍然不行。

    我还为此新建了一个测试域,没有设置任何组策略,但客户端一加入域就不能通讯了。然后我还添加了防火墙允许所有出入通讯的组策略,还是不行。

    另外一个现象是,我用netsh winhttp命令设置了系统级的代理服务器后,竟然通讯就正常了。其实也没有用真的代理服务器,我只是将代理设置成指向那台应用服务器的IP和端口

    不明白为什么一加域就无法直接跟服务器通讯了,反而走代理服务器就可以。



    2020年9月23日 0:30
  • >>用netsh winhttp命令设置了系统级的代理服务器后,竟然通讯就正常了

    的确非常奇怪,不过也算是找到了一个workaround的方式。这个问题如果要找root cause的话,需要去抓网络包看了。分别在不加域可以成功通信,加域无法通信的情况下,抓包对比分析网络包的情况。

    但是由于论坛不支持抓包分析,如果要分析根本原因的话,建议和微软开case进行深入研究的。

    如果您熟悉抓包的话,可以下载一个network monitor或者是wireshark的工具抓包自己分析一下。


    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com   


    2020年9月23日 1:58
  • Hello,

    请问是否还有其他问题?如果有任何疑问,请随时在贴下进行回复。如果暂时没有其他问题,您可以把有帮助的回复标记为答复,我们将暂停对此贴的追踪。

    此致

    Candy


    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com   

    2020年9月24日 5:22