Windows フィルタリング プラットフォームは正当なトラフィックのパケットをブロックします

tag-icon tag-icon networking firewall windows-server-2012 windows-firewall windows
Windows フィルタリング プラットフォームは正当なトラフィックのパケットをブロックします

Web アプリケーション サーバーからデータベース サーバーへのトラフィックがブロックまたはフィルタリングされるという問題が発生しています。ファイアウォール ルールを使用して、必要な IP とポートで受信トラフィックと送信トラフィックを許可しましたが、一部のパケット/接続がまだブロック/ドロップされています。

最新の発生時のイベント ログには次のように表示されます。

The Windows Filtering Platform has blocked a packet.

Application Information:
    Process ID:        0
    Application Name:    -

Network Information:
    Direction:        Inbound
    Source Address:        redacted-webapp-ip
    Source Port:        51888
    Destination Address:    redacted-database-ip
    Destination Port:        1433
    Protocol:        6

Filter Information:
    Filter Run-Time ID:    72605
    Layer Name:        Transport
    Layer Run-Time ID:    13

出力から、netsh wfp show stateドロップの原因となったフィルターに関する次の情報を見つけることができます。

<item>
    <filterKey>{ccea04a9-00af-48c8-ba5e-ceba7bfc75ae}</filterKey>
    <displayData>
        <name>Port Scanning Prevention Filter</name>
        <description>This filter prevents port scanning.</description>
    </displayData>
    <flags/>
    <providerKey>{decc16ca-3f33-4346-be1e-8fb4ae0f3d62}</providerKey>
    <providerData>
        <data>ffffffffffffffff</data>
        <asString>........</asString>
    </providerData>
    <layerKey>FWPM_LAYER_INBOUND_TRANSPORT_V4_DISCARD</layerKey>
    <subLayerKey>{b3cdd441-af90-41ba-a745-7c6008ff2301}</subLayerKey>
    <weight>
        <type>FWP_UINT8</type>
        <uint8>12</uint8>
    </weight>
    <filterCondition numItems="1">
        <item>
            <fieldKey>FWPM_CONDITION_FLAGS</fieldKey>
            <matchType>FWP_MATCH_FLAGS_NONE_SET</matchType>
            <conditionValue>
                <type>FWP_UINT32</type>
                <uint32>3</uint32>
            </conditionValue>
        </item>
    </filterCondition>
    <action>
        <type>FWP_ACTION_CALLOUT_TERMINATING</type>
        <calloutKey>FWPM_CALLOUT_WFP_TRANSPORT_LAYER_V4_SILENT_DROP</calloutKey>
    </action>
    <rawContext>0</rawContext>
    <reserved/>
    <filterId>72605</filterId>
    <effectiveWeight>
        <type>FWP_UINT64</type>
        <uint64>13835058055315718144</uint64>
    </effectiveWeight>
</item>

この原因を特定するための正しい方向を誰か教えてくれませんか? このフィルターを追加しているもの/追加したものがあるか確認する方法はありますか?

ウイルス対策ソフトウェアはインストールされておらず、疑わしいソフトウェアは他に見つかりませんでした。「ポート スキャン防止フィルター」に加えて、「Query User」という名前のものも見つかりました (同様の問題を引き起こします)。どちらも発生源を追跡できません。(この例以外の正当なトラフィックも、これらのタイプのフィルターによって定期的にブロックされています。)

関連情報