Cómo habilitar el fichero de log de intentos de conexión externos a un equipo que han sido bloqueados, desde el cortafuegos de Windows. Opción muy útil para resolver errores de conexión externa a un servidor/equipo, por el puerto que tengamos abierto o cerrado a propósito (HTTP, HTTPS, RDP, FTP, etc.). Una forma de ver las conexiones bloqueadas y permitidas por el cortafuegos de Windows.

En este ejemplo, usaremos un equipo con Windows Server 2022, aunque el proceso es similar para equipos con otras versiones de Windows Server y para equipos Windows 7, Windows 8, Windows 10 y Windows 11.

En primer lugar, y como es lógico, deberemos tener habilitado el cortafuegos de Windows. Podremos comprobar que el firewall de Windows está activo desde Inicio, escribiendo «firewall» y eligiendo «Firewall de Windows Defender», también se puede abrir desde «Panel de control» – «Sistema y seguridad» – «Firewall de Windows Defender»:

Habilitar log de intentos de conexión bloqueados en cortafuegos de Windows

En «Estado de Firewall de Windows Defender» nos indicará «Activado»:

Habilitar log de intentos de conexión bloqueados en cortafuegos de Windows

También podremos consultar su estado pulsando en «Activar o desactivar el Firewall de Windows Defender», en la ventana anterior:

Habilitar log de intentos de conexión bloqueados en cortafuegos de Windows

Observamos que tenemos tres opciones, para los tres tipos de red. Podremos habilitar/deshabilitar el firewall de Windows para el dominio (para los equipos que estén agregados al mismo dominio que el equipo actual), para la red privada (para los equipos que tengan el mismo segmento de red que el equipo actual) y para la red pública (para el resto de equipos de segmentos de red diferentes o de Internet). Lo recomendable es activar el cortafuegos para los tres tipos de red.

Para activar la escritura de un fichero de log en el que podamos consultar las acciones llevadas a cabo por el cortafuegos (intentos de accesos bloqueados o accesos permitidos), en la ventana anterior, pulsaremos en «Configuración avanzada»:

Habilitar log de intentos de conexión bloqueados en cortafuegos de Windows

Pulsaremos en «Propiedades de Firewall de Windows Defender»:

Habilitar log de intentos de conexión bloqueados en cortafuegos de Windows

En la pestaña «Perfil de dominio», pulsaremos en «Personalizar» en «Inicio de sesión»:

Habilitar log de intentos de conexión bloqueados en cortafuegos de Windows

En esta ventana podremos configurar la ruta donde se guardará el log de accesos/bloqueos. Desde aquí también podremos indicar si queremos que Windows registre los paquetes descartados (bloqueos) o también las conexiones correctas (accesos permitidos):

Habilitar log de intentos de conexión bloqueados en cortafuegos de Windows

Repetiremos el proceso para configurar el log de accesos para el Perfil público y el Perfil privado.

A partir de ahora, todos los accesos (tanto bloqueados como permitidos, si así lo hemos configurado) quedará escritos en el fichero de log:

C:\Windows\System32\LogFiles\Firewall\pfirewall.log

Podremos abrir este fichero con el bloc de notas (notepad), por ejemplo. Aunque si intentamos abrirlo directamente, puede que nos muestre este aviso y no nos deje abrirlo:

Habilitar log de intentos de conexión bloqueados en cortafuegos de Windows

En este caso, no hay mayor problema, podemos hacer una copia del fichero y abrir esta copia:

Habilitar log de intentos de conexión bloqueados en cortafuegos de Windows
Habilitar log de intentos de conexión bloqueados en cortafuegos de Windows

Las columnas del fichero anterior son:

  • date: fecha del suceso.
  • time: hora del suceso.
  • action: acción realizada por el cortafuegos (DROP, ALLOW).
  • protocol: protocolo (UDP, TCP, etc.).
  • src-ip: dirección IP origen.
  • dst-ip: dirección IP destino.
  • src-port: puerto origen.
  • dst-port: puerto destino.
  • size: tamaño del paquete.
  • tcpflags: flags TCP.
  • tcpsyn: TCP Syn.
  • tcpack: TCP pack.
  • tcpwin: TCP Win.
  • icmptype: ICMP Type.
  • icmpcode: ICMP Code.
  • info: información adicional.
  • path: ruta.
  • pid: PID de proceso.

De esta forma, podremos consultar los intentos de acceso bloqueados. Esto nos servirá de mucha ayuda para cuando queramos abrir algún puerto determinado y ver que funciona correctamente.