嘿，这个问题我之前帮好几个开发者排查过，核心原因其实和ASP.NET WebAPI的运行宿主有关——你指定的可执行文件可能并不是实际监听端口的进程！

核心原因拆解 #

1. ASP.NET WebAPI的宿主进程差异 #

• 如果是**ASP.NET Framework（.NET Framework）**的WebAPI：本地调试常用IIS Express（进程名iisexpress.exe），部署到IIS后实际监听端口的是IIS工作进程w3wp.exe，根本不是你自己编写的exe。你把防火墙规则指向自己的程序，自然拦截了外部请求。
• 如果是ASP.NET Core的自托管WebAPI：虽然你的exe是启动进程，但Kestrel（ASP.NET Core内置Web服务器）可能会创建子进程处理请求；或者当应用以服务身份/管理员权限运行时，实际进程路径和你指定的用户态路径不一致，导致规则匹配失败。

2. 防火墙规则的程序路径配置错误 #

• 路径含空格未加引号：比如你的exe路径是C:\Program Files\MyApp\MyWebAPI.exe，直接写进规则的话，Windows会把C:\Program当成程序路径，后面的部分被忽略，规则等于无效。
• 32/64位进程混淆：如果你的应用是32位，64位系统下实际运行路径可能在C:\Program Files (x86)\，但你指定的是C:\Program Files\，路径不匹配导致规则不生效。

3. 进程身份与权限问题 #

当外部请求进来时，WebAPI进程可能切换了运行身份（比如作为Windows服务用Local System账户运行），此时防火墙规则里指定的“当前用户下的exe”无法匹配到实际运行的进程，请求被拦截。

解决步骤 #

步骤1：找出实际监听端口的进程 #

打开管理员权限的命令提示符，运行：

netstat -ano | findstr :<你的端口号>

比如端口是5000，就执行netstat -ano | findstr :5000，结果最后一列的数字是进程ID（PID）。

然后打开任务管理器→“详细信息”标签，找到对应PID的进程，记录它的完整路径。

步骤2：修正防火墙规则 #

• 打开「Windows Defender防火墙高级设置」，找到你创建的入站规则。
• 右键规则→「属性」→「程序和服务」标签。
• 在「此程序路径」填入刚才找到的实际进程完整路径，路径有空格的话必须用双引号括起来（比如"C:\Program Files\IIS Express\iisexpress.exe"）。
• 检查「作用域」标签，确保允许的远程IP地址包含你其他设备所在的IP段（比如192.168.1.0/24）。

步骤3：ASP.NET Core自托管额外检查 #

如果是ASP.NET Core自托管应用，要确保Kestrel绑定了外部可访问的IP，而不是仅本地回环地址：

// Program.cs中的配置
var builder = WebApplication.CreateBuilder(args);
builder.WebHost.ConfigureKestrel(options =>
{
    // 绑定所有IP地址的指定端口
    options.ListenAnyIP(5000);
});

本地用localhost能访问，但外部设备需要用你的机器局域网IP，所以绑定AnyIP是必须的。

验证方法 #

修改规则后，从其他设备发起请求，同时在任务管理器里监控对应进程的网络活动，确认请求是否被正确路由。如果还是不行，可以临时关闭防火墙测试，排除其他网络问题。

内容的提问来源于stack exchange，提问作者e.wic