Endpoint Security 防火墙阻止某些来自 WSL2/Docker 实例的网络流量

技术文章 ID: KB94601
上次修改时间: 2021/09/20

环境

McAfee Endpoint Security (ENS) 防火墙 10.x

Microsoft Windows Subsystem for Linux 2 （WSL2） - 从 ENS 开始受支持10.7.02021 年 6 月更新。有关详细信息，请参阅：KB91411 - Windows Subsystem for Linux （WSL/WSL2）支持.

注意：此问题不会影响第 1 Microsoft Windows （WSL1） Linux子系统。
操作系统的 Docker Windows - 从 ENS 开始受支持10.6.1/10.7.02020 年 11 月更新。有关详细信息，请参阅：KB90041 - Windows/Linux/Mac容器支持（包含 McAfee 产品）.

问题

ENS 防火墙会阻止来自 WSL2 或 Docker 实例的一些网络流量。

从 WSL2 控制台，当您执行ping google.com，则 DNS 解析失败，这会导致命令失败。

输出结果：

ping: google.com: Temporary failure in name resolution

The ENSFirewallEventMonitor.log显示与以下内容类似的已阻止网络流量条目（应用程序、IP地址和端口号可以有所不同）。

Time: 05/27/2021 12:32:52
Event: Traffic
IP Address: 172.19.111.65
Description: HOST PROCESS FOR WINDOWS SERVICES
Path: C:\Windows\System32\svchost.exe
Message: Blocked Incoming UDP - Source 172.19.111.65 : (39171) Destination 172.19.96.1 : dns (53)
Matched Rule: Block all traffic

原因

WSL2 和 Docker 会创建一个虚拟网络适配器，所有网络流量都通过该适配器传输。从 ENS 防火墙视图中，此适配器正在接收来自 WSL2/Docker 实例的传入流量，并且默认防火墙规则会阻止多个端口上大部分入站流量。

解决方案

创建防火墙规则以允许所需本地端口上的入站流量，这样默认防火墙规则不会阻止来自 WSL2/Docker 实例的流量。下面提供了一些示例，但并未仅限于这些详细信息。根据需要创建/修改环境的防火墙规则。查看 ENSFirewallEventMonitor.log 文件，网络连接详细信息。

允许来自 WSL2/Docker 实例的流量示例防火墙规则：

示例 #1：
Allow DNS traffic from container
Rule Action: Allow
Direction: In
Connection type: All types (Wired,Wireless,Virtual)
Protocol: UDP/IPv4, UDP/IPv6
Local port: 53

示例#2：
Allow inbound FTP client connections from container
Rule Action: Allow
Direction: In
Connection type: All types (Wired,Wireless,Virtual)
Protocol: TCP/IPv4, TCP/IPv6
Local port: 21

示例 #3：
Allow inbound HTTP/HTTPS traffic from container
Rule Action: Allow
Direction: In
Connection type: All types (Wired,Wireless,Virtual)
Protocol: TCP/IPv4, TCP/IPv6
Local port: 80, 443

免责声明

本文内容源于英文。如果英文内容与其翻译内容之间存在差异，应始终以英文内容为准。本文部分内容是使用 Microsoft 的机器翻译技术进行翻译的。

受影响的产品

Configuration
Endpoint Security Firewall 10.7.x
Endpoint Security Firewall 10.6.x
Known Issue/Product Defect

语言:

此文章有以下语言版本：

English United States
Japanese
Chinese Simplified

Knowledge Center

Endpoint Security 防火墙阻止某些来自 WSL2/Docker 实例的网络流量

环境

问题

原因

解决方案

免责声明

受影响的产品

语言:

Title

Title

Knowledge Center

Endpoint Security 防火墙阻止某些来自 WSL2/Docker 实例的网络流量

环境

问题

原因

解决方案

免责声明

受影响的产品

语言:

选择您的区域

Title

Title