Microsoft Windows [Version 6.1.7000] (C) Copyright 2009 Microsoft Corp. C:\Windows>netsh ipsec dynamic set rule ?
Format:
rule [ srcaddr = ] (ip | dns | server)
[ dstaddr = ] (ip | dns | server)
[ protocol = ] (ANY | ICMP | TCP | UDP | RAW |)
[ srcport = ][ dstport = ][ mirrored = ] (yes | no)
[ conntype = ] (lan | dialup | all)
[[ srcmask = ] (mask | prefix) ][[ dstmask = ] (mask | prefix) ][[ tunneldstaddress = ] (ip | dns) ][[ mmpolicy = ]][[ qmpolicy = ]][[ actioninbound = ] (permit | block | negotiate) ][[ actionoutbound = ] (permit | block | negotiate) ][[ kerberos = ] (yes | no) ][[ psk = ]][[ rootca = ] " certmap:(yes | no)
excludecaname:(yes | no)" ]
Redigerer en regel og tilknyttede filtre i SPD.
Parametre:
Tag Værdi
srcaddr -Kilde-IP-adresse (ipv4 eller ipv6),
adresseområde, DNS-navn eller servertype.
dstaddr -Destinations-IP-adresse
(ipv4 eller ipv6), adresseområde, DNS-navn
eller servertype.
protocol -Kan være ANY, ICMP, TCP, UDP, RAW eller et heltal.
srcport -Kildeport (0 betyder en hvilken som helst port).
dstport -Destinationsport (0 betyder en hvilken som helst port).
mirrored -'Yes' opretter to filtre, et i hver retning.
conntype -Forbindelsestype.
srcmask -Kildeadressemaske eller et præfiks fra 1
til og med 32. Gælder ikke, hvis srcaddr
er indstillet til et område.
dstmask -Destinationsadressemaske eller et præfiks fra 1
til og med 32. Gælder ikke, hvis dstaddr er
indstillet til et område.
tunneldstaddress -IP-adresse til tunneldestination eller DNS-navn.
mmpolicy -Hovedtilstandspolitik.
qmpolicy -Hurtigtilstandspolitik.
actioninbound -Handling for indgående pakker.
actionoutbound -Handling for udgående pakker.
kerberos -Kerberos-godkendelse, hvis 'yes' er angivet.
psk -Godkendelse vha. en angivet forhåndsdelt nøgle.
rootca -Godkendelse vha. et angivet rodcertifikat,
forsøger at tilknytte certifikatet, hvis
certmap:Yes er angivet,
udelukker navnet på nøglecentret, hvis excludecaname:Yes
er angivet.
Kommentarer: 1. Mmpolicy, qmpolicy, actioninbound, actionoutbound
og authmethods kan angives; andre felter er id'er.
2. Servertypen kan være WINS, DNS, DHCP eller GATEWAY.
3. Indstillinger for certifikat, tilknytning og
navn på nøglecenter skal angives i anførselstegn;
Indlejrede anførselstegn skal erstattes med \'.
4. Tilknytning af certifikat gælder kun for domænemedlemmer.
5. Der kan udstedes flere certifikater ved at
bruge parameteren rootca flere gange.
6. Indstillingen for hver godkendelsesmetode afgøres af
dens placering i kommandoen.
7. Hvis der ikke er angivet nogen godkendelsesmetode,
anvendes dynamiske standarder.
8. Alle godkendelsesmetoder overskrives med
den angivne liste.
9. Udelukkelse af navnet på rodnøglecentret forhindrer,
at navnet sendes som en del af certifikatanmodningen.
10. Hvis der angives et adresseområde, skal
slutpunkterne være specifikke adresser
(ikke lister eller undernet) og af samme type
(begge bør være v4 eller v6).
Eksempler: 1. set rule srca=WINS dsta=0.0.0.0 srcmask=32 dstmask=32
tunneldst=192.168.145.1
proto=tcp srcport=80 dstport=80 mir=no con=lan
qmp=qmp actionin=negotiate actionout=permit
2. set rule srcaddr=192.168.145.110 dstaddr=192.168.145.215
mmpolicy=mmp qmpolicy=qmp mirrored=no srcmask=32
rootca="C=US,O=MSFT,CN=Microsoft Authenticode(tm)
Root Authority"
rootca="C=US,O=MSFT,CN=\'Microsoft North, South, East, and West
Root Authority\' certmap:yes excludecaname:no"
