Брандмауэр, не работает разрешающее правило
 

Доброе время суток. Имеется WinSrv2016, в конфигурации Core, брандмауэр с правилами по умолчанию. Нужно включить ICMPv4 входящий трафик для компов с адресами 192.168.0-2.126.
Выполняется команда:
netsh advfirewall>firewall add rule name="allow_icmp_from_126" dir=in action=allow enable=yes remoteip=192.168.2.126,192.168.0.126,192.168.1.126 protocol=icmpv4 profile=any

Команда netsh advfirewall firewall show rule name="allow_icmp_from_126" показывает что правило есть и включено:

Имя правила: allow_icmp_from_126
----------------------------------------------------------------------
Включен: Да
Направление: Вход
Profiles: Домен,Частный,Публичный
Группировка:
LocalIP: Любой
Удаленный IP-адрес: 192.168.0.126/32,192.168.1.126/32,192.168.2.126/32
Протокол: ICMPv4
Тип Код
Любой Любой
Обход узлов: Нет
Действие: Разрешить
ОК.

Но при этом узлы 126 не могут делать ping до машины где включено правило. Что не так ?

Попробуйте переформулировать вопрос.

Более понятней будет с какого ПК и на какой ПК должен идти (не идти) ping.

Скорее всего, у Вас дефолтным правилом File and Printer Sharing (Echo Request — ICMPv4-In) запрещён пинг.

Попробуйте вот так

с 192.168.0(1,2).126 должен идти на 192.168.2.248 ( Win Srv 2016)
- попробую отключить для проверки

Denis Dyagilev, - не в этом причина.
1. Во-первых это правило пинг разрешает, а не запрещает
2. Во-вторых, это правило выключено.
Во вложении экспорт всех правил брандмауэра.

__sa__nya,

Чтобы не гадать, приведите результат команды запущенной в Powershell.
Интересует чему равен "NetworkCategory" у адаптера(ров)?

Anton04, тип подключения - "Публичный". Этот тип и должен быть.
PS C:\Windows\system32> get-netconnectionprofile


Name : Сеть
InterfaceAlias : Ethernet
InterfaceIndex : 6
NetworkCategory : Public
IPv4Connectivity : Internet
IPv6Connectivity : NoTraffic

Разобрался. Причина была в неверно поставленной сетевой маске компа WinSrv2016. У него IP 192.168.2.248, и маска должна быть 255.255.252.0, я по ошибке поставил 255.255.254.0. Все 3 адреса 192.168.0-2.126 принадлежат пока 1 компу. И когда шел ping, маска компа на WinSrv2016 видимо определяла что ping идет не из одной сети, и не было ответа. Хотя... я о маске подумал сразу, и с компа WinSrv2016 проверил это ping'ом на все 3 адреса 126 из разных подсетей - все 3 ping'а работали удачно, это и ввело меня в заблуждение. А с самой командой все ОК.

Правило, разрешающее сетевую активность выключено, таким образом, сетевая активность запрещена. Где противоречие-то? -)

- Противоречие здесь:
- Вы пишете что этим правилом пинг запрещен, я говорю что это правило выключено вообще - как оно может что-то запрещать ?

Если включение правила пинг разрешает, то что делает его выключение?

Denis Dyagilev, давайте еще раз посмотрим что вы пишете:
- Любой здравомыслящий человек расценит смысл написанного как то что данное правило при включенном состоянии запретило ping. Т.к, если ping запрещен по причине того что соответствующее правило не включено, то пишут что-то вроде: "У вас не включено правило, разрешающее ping"

Ну, если хочется удариться в софистику с элементами хамства — то это уже без меня.
Закрыли тему.

- ОК, элементы хамства убрал, но основную свою мысль последнего поста оставил.