Microsoft Windows [Version 6.1.7000] (C) Copyright 2009 Microsoft Corp. C:\Windows>netsh ipsec dynamic add rule ?
Format:
rule [ srcaddr = ] (ipv4 | ipv6 | ipv4-ipv4 | ipv6-ipv6 | dns | server)
[ dstaddr = ] (ipv4 | ipv6 | ipv4-ipv4 | ipv6-ipv6 | dns | server)
[ mmpolicy = ][[ qmpolicy = ]][[ protocol = ] (ANY | ICMP | TCP | UDP | RAW |) ][[ srcport = ]][[ dstport = ]][[ mirrored = ] (yes | no) ][[ conntype = ] (lan | dialup | all) ][[ actioninbound = ] (permit | block | negotiate) ][[ actionoutbound = ] (permit | block | negotiate) ][[ srcmask = ] (mask | prefix) ][[ dstmask = ] (mask | prefix) ][[ tunneldstaddress = ] (ip | dns) ][[ kerberos = ] (yes | no) ][[ psk = ]][[ rootca = ] " certmap:(yes | no)
excludecaname:(yes | no)" ]
Tilføjer en regel.
Parametre:
Tag Værdi
srcaddr -Kilde-IP-adresse (ipv4 eller ipv6), adresseområde,
DNS-navn eller servertype.
dstaddr -Destinations-IP-adresse (ipv4 eller ipv6),
adresseområde, DNS-navn eller servertype.
mmpolicy -Hovedtilstandspolitik
qmpolicy -Hurtigtilstandspolitik
protocol -Kan være ANY, ICMP, TCP, UDP, RAW eller et heltal.
Hvis du angiver en port, kan du angive TCP eller UDP.
srcport -Kildeport (0 betyder en hvilken som helst port).
dstport -Destinationsport (0 betyder en hvilken som helst port).
mirrored -'Yes' opretter to filtre, et i hver retning.
conntype -Forbindelsestype.
actioninbound -Handling for indgående pakker.
actionoutbound -Handling for udgående pakker.
srcmask -Kildeadressemaske eller et præfiks fra
1 til og med 32. Gælder ikke, hvis srcaddr
er indstillet til et område.
dstmask -Destinationsadressemaske eller et præfiks
fra 1 til og med 32. Gælder ikke, hvis
dstaddr er indstillet til et område.
tunneldstaddress -IP-adresse for tunneldestination eller DNS-navn.
kerberos -Kerberos-godkendelse, hvis 'yes' er angivet.
psk -Godkendelse vha. en angivet forhåndsdelt nøgle.
rootca -Godkendelse vha. et angivet rodcertifikat,
forsøger at tilknytte certifikatet, hvis
certmap:Yes er angivet,
udelukker navnet på nøglecentret, hvis
excludecaname:Yes er angivet.
Kommentarer: 1. Port gyldig for TCP og UDP.
2. Servertypen kan være WINS, DNS, DHCP eller GATEWAY
3. Standarden for actioninbound og actionoutbound er 'negotiate'.
4. I forbindelse med tunnelregler skal mirrored være 'no'.
5. Indstillinger for certifikat, tilknytning og
navn på nøglecenter skal angives i anførselstegn;
Indlejrede anførselstegn skal erstattes med \'.
6. Tilknytning af certifikat gælder kun for domænemedlemmer.
7. Der kan udstedes flere certifikater ved at bruge
parameteren rootca flere gange.
8. Indstillingen for hver godkendelsesmetode afgøres af
dens placering i kommandoen.
9. Hvis der ikke er angivet nogen godkendelsesmetode,
anvendes dynamiske standarder.
10. Udelukkelse af navnet på rodnøglecentret forhindrer,
at navnet sendes som en del af certifikatanmodningen.
11. Hvis der er angivet et adresseområde, skal
slutpunkterne være specifikke adresser
(ikke lister eller undernet) og af samme type
(begge bør være v4 v6).
Eksempel: add rule srcaddr=192.168.145.110 dstaddr=192.168.145.215
mmpolicy=mmp
qmpolicy=qmp mirrored=no srcmask=32 dstmask=255.255.255.255
rootca="C=US,O=MSFT,CN=Microsoft Authenticode(tm) Root Authority"
rootca="C=US,O=MSFT,CN=\'Microsoft North, South, East, and West Root
Authority\' certmap:yes excludecaname:no"
