Eingehende Windows-Firewall-Regeln stimmen nicht mit netstat-Überwachungsports überein

Question

Ich bin kein Firewall-Experte, also brauche Hilfe beim Verständnis des Unterschieds zwischen meinen Windows-Firewall-Regeln und dem, was Netstat anzeigt. Einige Computer in meinem Unternehmen erlauben aufgrund von Vorschriften nur eingehenden Datenverkehr auf mehreren Ports, alle anderen Ports sind standardmäßig blockiert.

Zum Beispiel könnte ein Computer erlaubt TCP 20,21,23,80,443,445 und 3389.

Wenn ich aber einen Befehl netstat tun, ich sehe viel „Hören“ Ports, die nicht erlaubt werden soll:

Proto Lokale Foreign Staat

TCP 0.0.0.0:5985 0.0.0.0:0 HÖRT
TCP 0.0.0.0:9001 0.0.0.0:0 HÖRT
TCP 0.0.0.0:9002 0.0.0.0: 0 HÖREN
TCP 0.0.0.0:16992 0.0.0.0:0 HÖRT
TCP 0.0.0.0:47001 0.0.0.0:0 HÖRT
TCP 0.0.0.0:49152 0.0.0.0:0 HÖRT
TCP 0.0.0.0:49153 0.0.0.0:0 HÖRT
TCP 0.0.0.0:49154 0.0.0.0:0 HÖRT
TCP 0.0.0.0:49155 0.0.0.0:0 HÖRT
TCP 0.0.0.0:49156 0.0.0.0:0 HÖRT
TCP 0.0.0.0:49166 0.0.0.0:0 HÖRT
TCP 0.0.0.0:49178 0.0.0.0:0 HÖRT

Ich brauche Hilfe, um zu verstehen, warum die beiden nicht zustimmen ... versuchen diese Ports an einem bestimmten Port zu horchen, aber die Firewall lässt keinen Verkehr zu ihnen durch?

Vielen Dank.

Answer 1

Die Regeln für eingehende Firewall verhindern, dass Hosts erfolgreich Verbindungen zu Ports auf dem lokalen System herstellen. Diese können geschrieben werden, um zu verhindern, dass sich externe Hosts verbinden (typisch) und können sogar geschrieben werden, um zu verhindern, dass sich localhost verbindet (ungewöhnlich). Die Firewall verhindert nicht, dass ein lokales Programm ausgeführt oder an einen Überwachungsport gebunden wird.

Netstat hat damit nichts zu tun. Netstat gibt an, welche Ports Listening, Established, SYN_Received usw. sind. Die Firewall verhindert nicht, dass lokale Programme Ports auf einer beliebigen Schnittstelle abhören.