Microsoft Windows [Version 6.1.7000] (C) Copyright 2009 Microsoft Corp. C:\Windows>netsh advfirewall firewall add rule ?
Uso: add rule name=
dir=in|out
action=allow|block|bypass
[program=][service=|any][description=][enable=yes|no (padrão=yes)][profile=public|private|domain|any[,...]][localip=any|||||][remoteip=any|localsubnet|dns|dhcp|wins|defaultgateway|||||][localport=0-65535|[,...]|RPC|RPC-EPMap|IPHTTPS|any
(padrão=any)][remoteport=0-65535|[,...]|any (padrão=any)][protocol=0-255|icmpv4|icmpv6|icmpv4:type,code|icmpv6:type,code|
tcp|udp|any (padrão=any)][interfacetype=wireless|lan|ras|any][rmtcomputergrp=][rmtusrgrp=][edge=yes|deferapp|deferuser|no (padrão=no)][security=authenticate|authenc|authdynenc|authnoencap|notrequired
(padrão=notrequired)]
Comentários:
- Adiciona uma nova regra de entrada ou saída à diretiva de firewall.
- O nome da regra deve ser exclusivo e não pode ser "all".
- Se um grupo de usuários ou computadores remotos for especificado,
security deverá ser authenticate, authenc, authdynenc ou authnoencap.
- Definir security como authdynenc permite que os sistemas negociem
dinamicamente o uso de criptografia para tráfego que corresponda a uma
determinada regra do Windows Firewall. A criptografia é negociada com
base em propriedades existentes da regra de segurança de conexão. Essa
opção permite que um computador aceite o primeiro pacote TPC ou UDP de
uma conexão IPsec de entrada contanto que ela seja protegida, mas não
criptografada, usando IPsec.
Depois que o primeiro pacote é processado, o servidor renegocia a
conexão e atualiza para que todas as comunicações subsequentes sejam
totalmente criptografadas.
- Se action=bypass, o grupo de computadores remotos deverá ser
especificado quando dir=in.
- Se service=any, a regra se aplicará somente aos serviços.
- O código ou tipo ICMP pode ser "any".
- A borda só pode ser especificada para regras de entrada.
- AuthEnc e authnoencap não podem ser usados juntos.
- Authdynenc só é válido quando dir=in.
- Quando authnoencap é definido, a opção security=authenticate se torna
um parâmetro opcional.
Exemplos:
Adicionar uma regra de entrada sem segurança de encapsulamento para o
messenger.exe:
netsh advfirewall firewall add rule name="allow messenger"
dir=in program="c:\programfiles\messenger\msmsgs.exe"
security=authnoencap action=allow
Adicionar uma regra de saída para a porta 80:
netsh advfirewall firewall add rule name="allow80"
protocol=TCP dir=out localport=80 action=block
Adicionar uma regra de entrada que exija segurança e criptografia para
tráfego da porta TCP 80:
netsh advfirewall firewall add rule
name="Require Encryption for Inbound TCP/80"
protocol=TCP dir=in localport=80 security=authdynenc
action=allow
Adicionar uma regra de entrada para o messenger.exe e exigir segurança
netsh advfirewall firewall add rule name="allow messenger"
dir=in program="c:\program files\messenger\msmsgs.exe"
security=authenticate action=allow
Adicionar uma regra de desvio de firewall autenticado para o grupo
acmedomain\scanners identified by a SDDL string:
netsh advfirewall firewall add rule name="allow scanners"
dir=in rmtcomputergrp= action=bypass
security=authenticate
Adicionar uma regra de saída para as portas locais 5000-5010 para udp-
Add rule name="Allow port range" dir=out protocol=udp
localport=5000-5010 action=allow
