Microsoft Windows [Version 6.1.7000] (C) Copyright 2009 Microsoft Corp. C:\Windows>netsh ipsec dynamic set rule ?
Syntax:
rule [ srcaddr = ] (ip | dns | server)
[ dstaddr = ] (ip | dns | server)
[ protocol = ] (ANY | ICMP | TCP | UDP | RAW |)
[ srcport = ][ dstport = ][ mirrored = ] (yes | no)
[ conntype = ] (lan | dialup | all)
[[ srcmask = ] (Maske | Präfix) ][[ dstmask = ] (Maske | Präfix) ][[ tunneldstaddress = ] (ip | dns) ][[ mmpolicy = ]][[ qmpolicy = ]][[ actioninbound = ] (permit | block | negotiate) ][[ actionoutbound = ] (permit | block | negotiate) ][[ kerberos = ] (yes | no) ][[ psk = ]][[ rootca = ] " certmap:(yes | no)
excludecaname:(yes | no)" ]
Ändert eine Regel und assoziierte Filter in SPD.
Parameter:
Tag Wert
srcaddr -Quell-IP-Adresse (IPv4 oder IPv6), -adressbereich,
-DNS-Name oder -servertyp.
dstaddr -Ziel-IP-Adresse (IPv4 oder IPv6), -adressbereich,
-DNS-Name oder -servertyp.
protocol -ANY ICMP TCP UDP oder RAW oder eine ganze Zahl.
srcport -Quellport(0 bedeutet BELIEBIG)
dstport -Zielport(0 bedeutet BELIEBIG)
mirrored -Durch "Yes" werden zwei Filter erstellt (ein Filter für
jede Richtung.)
conntype -Verbindungstyp.
srcmask -Quelladressmaske oder ein Präfix zwischen 1 und 32. Nicht
zutreffend, falls ein Bereich für "srcaddr" festgelegt
wurde.
dstmask -Zieladressmaske oder ein Präfix zwischen 1 und 32. Nicht
zutreffend, falls ein Bereich für "dstaddr" festgelegt
wurde.
tunneldstaddress -Tunnelziel-IP-Adresse oder -DNS-Name.
mmpolicy -Hauptmodusrichtlinie
qmpolicy -Schnellmodusrichtlinie
actioninbound -Aktion für eingehende Pakete.
actionoutbound -Aktion für ausgehende Pakete.
kerberos -Bietet Kerberos-Authentifizierung bei Angabe von "yes".
psk -Bietet Kerberos-Authentifizierung durch Angabe eines
vordefinierten Schlüssels.
rootca -Bietet Authentifizierung mit einem angegebenen
Stammzertifikat. Bei certmap:Yes wird versucht, das
Zertifikat zuzuordnen. Bei excludecaname:Yes wird der
Zertifizierungsstellenname ausgelassen.
Anmerkungen: 1. Mmpolicy, qmpolicy, actioninbound,actionoutbound und
authmethods können gesetzt werden. Die anderen Felder sind
Kennungen.
2. Servertyp kann WINS, DNS, DHCP oder Gateway sein.
3. Zertifikat, Zuordnung und Zertifizierungsstellenname
müssen in Anführungszeichen angegeben werden. Eingebettete
Anführungszeichen müssen mit \' ersetzt werden.
4. Zertifikatzuordnung kann nur für Domänenmitglieder
verwendet werden.
5. Mehrere Zertifikate können durch Angabe mehrere rootca-
Parameter angegeben werden.
6. Die bevorzugte Authentifizierungsmethode wird durch die
Reihenfolgenangabe im Befehl bestimmt.
7. Ohne Angabe von Authentifizierungsmethode werden
dynamische Standardwerte verwendet.
8. Alle Authentifizierungsmethoden werden mit der
angegebenen Liste überschrieben.
9. Durch Auslassung des Stammzertifizierungsstellen-Namens
kann der Name nicht als Teil der Authentifizierungs-
anforderung gesendet werden.
10. Wenn ein Adressbereich angegeben wurde, müssen die Endpunkte
festgelegte Adressen (keine Listen oder Subnetze) und vom
selben Typ (beide v4 oder beide v6) sein.
Beispiele: 1. set rule srca=WINS dsta=0.0.0.0 srcmask=32 dstmask=32
tunnelsrc=192.168.11.1 tunneldst=192.168.145.1
proto=tcp srcport=80 dstport=80 mir=no con=lan
qmp=qmp actionin=negotiate actionout=permit
2. set rule srcaddr=192.168.145.110 dstaddr=192.168.145.215
mmpolicy=mmp qmpolicy=qmp mirrored=no srcmask=32
rootca="C=US,O=MSFT,CN=Microsoft Authenticode(tm)-
Stammzertifizierungsstelle"
rootca="C=US,O=MSFT,CN=\'Microsoft Nord-, Süd-, Ost- und
West-Stammzertifizierungsstelle\' certmap:yes
excludecaname:no"
