Eu pesquisei no Google, mas não vejo nenhuma resposta ou perguntas semelhantes aqui. Há algum conteúdo sobre como o Firewall Avançado do Windows corresponde às regras, mas o que não entendo é: o que acontece se você tiver regras conflitantes de sub-rede/porta/caminho do aplicativo? Digamos que eu tenha um programa que fala pela porta 5555 em uma interface/sub-rede específica. Se eu permitir o tráfego de saída na porta 5555 e permitir todo o tráfego na sub-rede que está usando, às vezes o firewall do Windows criará automaticamente regras de bloqueio para o programa, então acabo com regras como "permitir todo o tráfego na sub-rede relevante" e "permitir tráfego tcp de saída acima de 5555", mas acabo com uma regra "bloquear C:\Caminho\para\aplicativo" e, às vezes, o aplicativo não se comporta corretamente.
Então, como o Firewall do Windows lida com regras conflitantes? Existe uma ordem? Ele prefere um tipo (sub-rede x porta x caminho)? Posso adicionar regras para o caminho do aplicativo, mas acho que não entendo por que, se já defini uma regra de sub-rede e uma regra de porta, por que ainda recebo a janela pop-up do firewall/defensor do Windows quando um novo aplicativo é aberto e se eu não clicar em permitir, geralmente uma regra de bloqueio é adicionada, como uma 'regra de aplicativo', com o caminho para o aplicativo sendo o critério de bloqueio. Por que ele não procura e encontra uma regra de sub-rede ou porta correspondente?
Quaisquer ferramentas de diagnóstico decentes ou informações ou links para conteúdo sobre regras conflitantes seriam ótimos... obrigado!
As regras do Windows Advanced Firewall são avaliadas em uma ordem estrita.
Todas as regras são divididas em quatro grupos. Dentro de cada categoria, as regras são avaliadas da mais específica para a menos específica. Por exemplo, uma regra que especifica quatro critérios é selecionada em vez de uma regra que especifica apenas três critérios. A avaliação é satisfeita e termina com a primeira regra correspondente dentro do grupo.
Os quatro grupos são os seguintes:
Bypass autenticado
São regras nas quais a opção "Ignorar regras de bloqueio" é selecionada juntamente com "Permitir se seguro", para permitir o tráfego de rede que, de outra forma, seria bloqueado. Destinam-se a permitir a manutenção e administradores de rede altamente autorizados.
Bloquear conexão
As regras de bloqueio têm prioridade mais alta do que todas as outras regras.
Permitir conexão
Regras que permitem tráfego de rede de entrada. Essas regras são necessárias, pois o comportamento padrão é bloquear o tráfego de rede de entrada não solicitado.
Comportamento padrão do perfil
O comportamento padrão é bloquear o tráfego de rede de entrada não solicitado, mas permitir todo o tráfego de rede de saída. Esse comportamento padrão pode ser alterado por meio das guias Perfil de domínio, Perfil privado e Perfil público dos detalhes da regra de firewall.
Para o seu exemplo específico, a regra "bloquear aplicativo" tem precedência absoluta. Em seguida, vem o mais específico "permitir tráfego tcp de saída acima de 5555", com o último em prioridade a regra geral de "permitir todo o tráfego na sub-rede relevante".
Referências: