我现在遇到一个Windows防火墙的棘手问题，想创建规则允许tracert.exe的出站连接，但尝试了各种方法都没成功，具体情况如下：

• 打开高级安全Windows防火墙面板，先将所有出站连接设置为阻止
• 创建两条出站允许规则，分别对应cmd.exe和tracert.exe，并且允许所有协议
• 打开命令提示符执行命令：c:\Users\Administrator>tracert xx.xx.xx.xx，结果依然被防火墙拦截

补充几个关键细节：

• 当我把防火墙设置为允许所有出站连接时，tracert可以正常工作
• 之前我了解到部分Windows系统中，使用%SystemRoot%\System32\...这类环境变量路径设置规则会失效，必须用c:\Windows\System32\...的绝对路径，但这次我两种路径都尝试了，分别创建了对应规则，问题依旧
• 我其他针对exe的出站允许规则都能正常生效——当全局出站连接设为阻止时，那些程序都可以正常联网

我自己猜测，会不会是tracert.exe从cmd.exe启动时，实际调用了其他进程（比如svchost.exe）？或者它使用的是ICMP协议？我用Sysinternals的tcpview.exe排查过，没有发现TCP或UDP连接，所以大概率和ICMP有关？

有没有大佬知道这到底是什么原因导致的？麻烦帮忙解答一下，非常感谢！

备注：内容来源于stack exchange，提问作者Marcello