Microsoft Windows [Version 6.1.7000] (C) Copyright 2009 Microsoft Corp. C:\Windows>netsh ipsec dynamic add rule ?
Uso:
rule [ srcaddr = ] (ipv4 | ipv6 | ipv4-ipv4 | ipv6-ipv6 | dns | server)
[ dstaddr = ] (ipv4 | ipv6 | ipv4-ipv4 | ipv6-ipv6 | dns | server)
[ mmpolicy = ][[ qmpolicy = ]][[ protocol = ] (ANY | ICMP | TCP | UDP | RAW |) ][[ srcport = ]][[ dstport = ]][[ mirrored = ] (yes | no) ][[ conntype = ] (lan | dialup | all) ][[ actioninbound = ] (permit | block | negotiate) ][[ actionoutbound = ] (permit | block | negotiate) ][[ srcmask = ] (mask | prefix) ][[ dstmask = ] (mask | prefix) ][[ tunneldstaddress = ] (ip | dns) ][[ kerberos = ] (yes | no) ][[ psk = ]][[ rootca = ] " certmap:(yes | no) excludecaname:(yes | no)" ]
Adiciona uma Regra.
Parâmetros:
Marca Valor
srcaddr - Endereço IP (ipv4 ou ipv6), intervalo de endereços, nome DNS ou tipo de servidor de origem.
dstaddr - Endereço IP (ipv4 ou ipv6), intervalo de endereços, nome DNS ou tipo de servidor de destino.
mmpolicy - Diretiva de modo principal.
qmpolicy - Diretiva de modo rápido.
protocol - Pode ser ANY, ICMP, TCP, UDP, RAW ou um número inteiro.
srcport - Porta de origem (0 significa qualquer porta).
dstport - Porta de destino (0 significa qualquer porta).
mirrored - 'Yes' cria dois filtros, um em cada direção.
conntype - Tipo de conexão.
actioninbound - Ação para pacotes de entrada.
actionoutbound - Ação para pacotes de saída.
srcmask - Máscara de endereço de origem ou um prefixo de 1 até 32. Não se aplica se srcaddr está definido como um intervalo.
dstmask - Máscara do endereço de destino ou um prefixo de 1 até 32. Não se aplica se dstaddr está definido como um intervalo.
tunneldstaddress - Endereço IP ou nome DNS de destino do túnel.
kerberos - Fornece autenticação kerberos se 'yes' for especificado.
psk - Fornece autenticação usando uma chave pré-compartilhada
especificada.
rootca - Fornece autenticação usando um certificado raiz
especificado, tenta mapear o certificado se
certmap:Yes for especificado, exclui o nome da
autoridade de certificação se excludecaname:Yes for
especificado.
Comentários: 1. Porta válida para TCP e UDP.
2. Tipo de servidor pode ser WINS, DNS, DHCP ou GATEWAY.
3. Padrão para actioninbound e actionoutbound é 'negotiate'.
4. Para regras de túnel, mirrored deve ser definido
como 'no'.
5. Configurações de certificado, mapeamento e nome da autoridade
de certificação devem estar entre aspas; aspas contidas entre
outras aspas devem ser substituídas por \'.
6. O mapeamento de certificados só é válido para membros do
domínio.
7. Múltiplos certificados podem ser fornecidos usando-se o
parâmetro rootca diversas vezes.
8. A preferência de cada método de autenticação é determinada por
sua ordem no comando.
9. Se nenhum método de autenticação for declarado, os padrões
dinâmicos serão utilizados.
10. A exclusão do nome da autoridade de certificação raiz evita
que o nome seja enviado como parte de uma solicitação de
certificado.
11. Se for especificado um intervalo de endereços, os pontos finais terão de ser endereços específicos (em vez de listas ou sub-redes) e do mesmo tipo (ambos deverão ser v4 ou ambos deverão ser v6).
Exemplo: add rule srcaddr=192.168.145.110 dstaddr=192.168.145.215 mmpolicy=mmp
qmpolicy=qmp mirrored=no srcmask=32 dstmask=255.255.255.255
rootca="C=US,O=MSFT,CN=Microsoft Authenticode(tm) Root Authority"
rootca="C=US,O=MSFT,CN=\'Microsoft North, South, East, and West Root
Authority\' certmap:yes excludecaname:no"
