嘿，这个问题问得很实用！答案是完全可以在Windows防火墙里配置发送ICMP不可达报文，而不是直接丢弃数据包——Windows系统本身是支持这个功能的，只是默认的“阻止”动作确实是静默丢弃，需要手动调整规则的动作选项。

下面分两种常用方式给你说明怎么配置：

一、通过图形界面（GUI）配置 #

1. 打开「Windows Defender高级防火墙」（可以在控制面板里找，或者直接搜索“高级防火墙”）
2. 左侧选择「入站规则」或「出站规则」，根据你要控制的数据包方向来选；然后点击右侧的「新建规则」
3. 按向导一步步选择规则类型（比如「端口」「程序」等，根据你的实际需求），指定要阻止的目标对象
4. 到「动作」这一步时，不要选默认的「阻止连接」，而是选择**「拒绝连接」**——这个选项会让防火墙在阻止数据包的同时，发送对应的ICMP不可达响应（针对UDP协议）或者TCP重置报文（针对TCP协议）
5. 完成剩余的规则配置（比如规则名称、描述），保存即可生效

二、通过命令行（CMD/PowerShell）配置 #

如果你习惯用命令行批量配置，或者需要脚本化操作，可以用netsh命令实现：
比如要创建一个阻止UDP 53端口入站并发送ICMP不可达的规则，命令如下：

netsh advfirewall firewall add rule name="Block DNS UDP Inbound with ICMP Unreachable" dir=in action=blockwithreset protocol=udp localport=53

这里的关键参数是action=blockwithreset：

• 针对TCP连接，它会发送TCP重置报文
• 针对UDP数据包，它会发送ICMP端口不可达报文
• 针对其他协议，也会发送对应的ICMP不可达类型（比如目标不可达）

注意事项 #

• 不是所有阻止场景都能发送ICMP不可达：比如如果规则是针对ICMP协议本身的阻止，那自然没法发送ICMP响应（总不能自己给自己发吧）
• 这个功能在Windows 7及以后的版本都支持，包括Windows 10、Windows 11以及服务器版本（Windows Server 2008 R2及以上）

备注：内容来源于stack exchange，提问作者Batman