La plataforma de filtrado de Windows bloquea paquetes para tráfico legítimo

tag-icon tag-icon networking firewall windows-server-2012 windows-firewall windows
La plataforma de filtrado de Windows bloquea paquetes para tráfico legítimo

Tengo un problema con el bloqueo o filtrado del tráfico desde un servidor de aplicaciones web a un servidor de base de datos. He permitido el tráfico entrante y saliente en la IP y el puerto necesarios con una regla de firewall, pero algunos paquetes/conexiones todavía se están bloqueando/eliminando.

En el registro de eventos del suceso más reciente veo:

The Windows Filtering Platform has blocked a packet.

Application Information:
    Process ID:        0
    Application Name:    -

Network Information:
    Direction:        Inbound
    Source Address:        redacted-webapp-ip
    Source Port:        51888
    Destination Address:    redacted-database-ip
    Destination Port:        1433
    Protocol:        6

Filter Information:
    Filter Run-Time ID:    72605
    Layer Name:        Transport
    Layer Run-Time ID:    13

Con el resultado de netsh wfp show statepuedo encontrar esta información sobre el filtro que provocó la caída:

<item>
    <filterKey>{ccea04a9-00af-48c8-ba5e-ceba7bfc75ae}</filterKey>
    <displayData>
        <name>Port Scanning Prevention Filter</name>
        <description>This filter prevents port scanning.</description>
    </displayData>
    <flags/>
    <providerKey>{decc16ca-3f33-4346-be1e-8fb4ae0f3d62}</providerKey>
    <providerData>
        <data>ffffffffffffffff</data>
        <asString>........</asString>
    </providerData>
    <layerKey>FWPM_LAYER_INBOUND_TRANSPORT_V4_DISCARD</layerKey>
    <subLayerKey>{b3cdd441-af90-41ba-a745-7c6008ff2301}</subLayerKey>
    <weight>
        <type>FWP_UINT8</type>
        <uint8>12</uint8>
    </weight>
    <filterCondition numItems="1">
        <item>
            <fieldKey>FWPM_CONDITION_FLAGS</fieldKey>
            <matchType>FWP_MATCH_FLAGS_NONE_SET</matchType>
            <conditionValue>
                <type>FWP_UINT32</type>
                <uint32>3</uint32>
            </conditionValue>
        </item>
    </filterCondition>
    <action>
        <type>FWP_ACTION_CALLOUT_TERMINATING</type>
        <calloutKey>FWPM_CALLOUT_WFP_TRANSPORT_LAYER_V4_SILENT_DROP</calloutKey>
    </action>
    <rawContext>0</rawContext>
    <reserved/>
    <filterId>72605</filterId>
    <effectiveWeight>
        <type>FWP_UINT64</type>
        <uint64>13835058055315718144</uint64>
    </effectiveWeight>
</item>

¿Alguien puede indicarme la dirección correcta para determinar la causa de esto? ¿Alguna forma de saber qué está agregando o ha agregado este filtro?

No se instaló ningún software antivirus y no pude localizar ningún otro software que pareciera sospechoso. Además del "Filtro de prevención de escaneo de puertos", también he visto uno llamado "Usuario de consulta" (que causa problemas similares) cuyo origen tampoco puedo rastrear. (Este tipo de filtros también bloquea periódicamente otro tráfico legítimo fuera de este ejemplo).

información relacionada