Hola!

Muy buenas a todos/as!

En mis andaduras de configurción del Firewall de Windows 7, me encontraba con el problema de que a veces no sabía si un paquete estaba recibiendo un DROP un allow. Los firewalls en general conocen 3 estados para la decisión con un paquete:

Allow: El paquete mediante una regla preestablecida deja pasar hacia fuera

Drop:Se deniega el paso del paquete y no manda respuesta de ello

Reject:Se deniega el paso de ese paquete, manda un ICMP como destino inalcanzable

El log de Firewall de Wndows 7 es bastante sencillo de interpretar, así que mientras hacía mis pruebas y al mas estilo Unix, con Cygwin me hice un sh para ir comprobando los paquetes. Para activar el LOG en Firewall hemos de ir a la utilidad wf.msc con permisos de administrador.

Si obervamos la imagen tenemos que ir al menú de Propiedades de Firewall

Aqui tenemos los 3 perfiles del firewall, cada perfil se establece en un área de red que heos definido cuando nos conectamos a una red. En el caso de dominio normalmente  si trabajas en dominio en una empresa, privado en casa, por ejemplo y público en todo aquel sitio que no conozcas ni sea de tu confianza.

Aunque puede que cada pefil debería d estar configurado de una manera especial, creo que es bueno configurar el Firewall lo mas restringivo posible en todas las áreas, siendo así una medida de mitigación contra posibles ataques del exterior.

En el apartado de inicio de sesión:

Para cada uno de estos dominios, hemos de activar que registre los paquetes descartados y correctos. El log se guarda por defecto en:

/Windows/System32/LogFiles/Firewall/pfirewall.log

Como trabajo mucho con Cygwin, con un simple tail, podríamos ir viendo como se van registrando los paquetes:

#!/bin/bash

#Shell que hace un tail de las conexiones del Firewall

tail -f /cygdrive/c/Windows/System32/LogFiles/Firewall/pfirewall.log

Una utilidad mas por si hay alguien que queire probarlo