Microsoft Windows [Version 6.1.7000] (C) Copyright 2009 Microsoft Corp. C:\Windows>netsh ipsec dynamic set rule ?
Uso:
rule [ srcaddr = ] (ip | dns | server)
[ dstaddr = ] (ip | dns | server)
[ protocol = ] (ANY | ICMP | TCP | UDP | RAW |)
[ srcport = ][ dstport = ][ mirrored = ] (yes | no)
[ conntype = ] (lan | dialup | all)
[[ srcmask = ] (mask | prefix) ][[ dstmask = ] (mask | prefix) ][[ tunneldstaddress = ] (ip | dns) ][[ mmpolicy = ]][[ qmpolicy = ]][[ actioninbound = ] (permit | block | negotiate) ][[ actionoutbound = ] (permit | block | negotiate) ][[ kerberos = ] (yes | no) ][[ psk = ]][[ rootca = ] " certmap:(yes | no) excludecaname:(yes | no)" ]
Modifica uma regra e filtros associados no SPD.
Parâmetros:
Marca Valor
srcaddr - Endereço IP (ipv4 ou ipv6), intervalo de endereços, nome DNS ou tipo de servidor de origem.
dstaddr - Endereço IP (ipv4 ou ipv6), intervalo de endereços, nome DNS ou tipo de servidor de destino.
protocol - Pode ser ANY, ICMP, TCP, UDP, RAW ou um número inteiro.
srcport - Porta de origem (0 significa qualquer porta)
dstport - Porta de destino (0 significa qualquer porta)
mirrored - 'Yes' cria dois filtros, um em cada direção.
conntype - Tipo de conexão.
srcmask - Máscara de endereço de origem ou um prefixo de 1 até 32. Não se aplica se srcaddr está definido como um intervalo.
dstmask - Máscara do endereço de destino ou um prefixo de 1 até 32. Não se aplica se dstaddr está definido como um intervalo.
tunneldstaddress - Endereço IP ou nome DNS de destino do túnel.
mmpolicy - Diretiva de modo principal.
qmpolicy - Diretiva de modo rápido.
actioninbound - Ação para pacotes de entrada.
actionoutbound - Ação para pacotes de saída.
kerberos - Fornece autenticação kerberos se 'yes' for especificado.
psk - Fornece autenticação usando uma chave pré-compartilhada
especificada.
rootca - Fornece autenticação usando um certificado raiz
especificado, tenta mapear o certificado se certmap:Yes
for especificado, exclui o nome da autoridade de
certificação se excludecaname:Yes for especificado.
Comentários: 1. Mmpolicy, qmpolicy, actioninbound, actionoutbound e
authmethods podem ser definidos; outros campos são identificadores.
2. O tipo de servidor pode ser WINS, DNS, DHCP ou GATEWAY.
3. Configurações de certificado, mapeamento e nome da
autoridade de certificação devem estar entre aspas;
aspas contidas entre outras aspas devem ser substituídas
por \'.
4. O mapeamento de certificados só é válido para membros do
domínio.
5. Múltiplos certificados podem ser fornecidos usando-se o
parâmetro rootca diversas vezes.
6. A preferência de cada método de autenticação é determinada
por sua ordem no comando.
7. Se nenhum método de autenticação for declarado, os padrões
dinâmicos serão utilizados.
8. Todos os métodos de autenticação são substituídos pela lista
declarada.
9. A exclusão do nome da autoridade de certificação raiz evita
que o nome seja enviado como parte de uma solicitação de
certificado.
10. Se for especificado um intervalo de endereços, os pontos finais terão de ser endereços específicos (em vez de listas ou sub-redes) e do mesmo tipo (ambos deverão ser v4 ou ambos deverão ser v6).
Exemplos: 1. set rule srca=WINS dsta=0.0.0.0 srcmask=32 dstmask=32
tunneldst=192.168.145.1
proto=tcp srcport=80 dstport=80 mir=no con=lan
qmp=qmp actionin=negotiate actionout=permit
2. set rule srcaddr=192.168.145.110 dstaddr=192.168.145.215
mmpolicy=mmp qmpolicy=qmp mirrored=no srcmask=32
rootca="C=US,O=MSFT,CN=Microsoft Authenticode(tm) Root Authority"
rootca="C=US,O=MSFT,CN=\'Microsoft North, South, East, and West
Root Authority\' certmap:yes excludecaname:no"
