Microsoft Windows [Version 6.1.7000] (C) Copyright 2009 Microsoft Corp. C:\Windows>netsh advfirewall consec set rule ?
Uso: set rule
group=| name=[type=dynamic|static][profile=public|private|domain|any[,...] (default=any)][endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|||||][endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|||||][port1=0-65535|[,...]|any][port2=0-65535|[,...]|any][protocol=0-255|tcp|udp|icmpv4|icmpv6|any]
new
[name=][profile=public|private|domain|any[,...]][description=][mode=transport|tunnel][endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|||||][endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|||||][action=requireinrequestout|requestinrequestout|
requireinrequireout|requireinclearout|noauthentication][enable=yes|no][type=dynamic|static][localtunnelendpoint=any||][remotetunnelendpoint=any||][port1=0-65535|[,...]|any][port2=0-65535|[,...]|any][protocol=0-255|tcp|udp|icmpv4|icmpv6|any][interfacetype=wiresless|lan|ras|any][auth1=computerkerb|computercert|computercertecdsap256|
computercertecdsap384|computerpsk|computerntlm|anonymous[,...]][auth1psk=][auth1ca="[certmapping:yes|no][excludecaname:yes|no][catype:root|intermediate (predeterminado=root)]| ..."][auth1healthcert=yes|no][auth1ecdsap256ca="[certmapping:yes|no][excludecaname:yes|no][catype:root|intermediate (predeterminado=root)]| ..."][auth1ecdsap256healthcert=yes|no (predeterminado=no)][auth1ecdsap384ca="[certmapping:yes|no][excludecaname:yes|no][catype:root|intermediate (predeterminado=root)]| ..."][auth1ecdsap384healthcert=yes|no (predeterminado=no)][auth2=computercert|computercertecdsap256|computercertecdsap384|
userkerb|usercert|usercertecdsap256|usercertecdsap384|userntlm|
anonymous[,...]][auth2ca="[certmapping:yes|no][catype:root|intermediate (predeterminado=root)]| ..."][auth2ecdsap256ca="[certmapping:yes|no][catype:root|intermediate (predeterminado=root)]| ..."][auth2ecdsap384ca="[certmapping:yes|no][catype:root|intermediate (predeterminado=root)]| ..."][qmpfs=dhgroup1|dhgroup2|dhgroup14|ecdhp256|ecdhp384|mainmode|none][qmsecmethods=authnoencap:+[valormin]+[valorkb]|
ah:+esp:-+[valormin]+[valorkb]|default][exemptipsecprotectedconnections=yes|no (predeterminado=no)][applyauthz=yes|no (predeterminado=no)]
Notas:
- Establece un nuevo valor de parámetro en una regla identificada. Si la
regla no existe, se produce un error en el comando. Para crear una
regla, use el comando add.
- Los valores especificados después de la palabra clave new se actualizan
en la regla. Si no hay ningún valor o falta la palabra clave new, no se
realiza ningún cambio.
- Un grupo de reglas sólo puede estar habilitado o deshabilitado.
- Si hay varias reglas que coinciden con los criterios, se actualizarán
todas las reglas coincidentes.
- El nombre de la regla debe ser único y no puede ser "all".
- Auth1 y auth2 pueden ser listas de opciones separadas por comas.
- Los métodos computerpsk y computerntlm no se pueden especificar juntos
para auth1.
- No se puede especificar computercert con credenciales de usuario para
auth2.
- Las opciones de certsigning ecdsap256 y ecdsap384 sólo se admiten en
Windows Vista SP1 y posteriores.
- Qmsecmethods puede ser una lista de propuestas separadas con una ",".
- Para qmsecmethods, integrity=md5|sha1|sha256|aesgmac128|aesgmac192|
aesgmac256|aesgcm128|aesgcm192|aesgcm256 y
encryption=3des|des|aes128|aes192|aes256|aesgcm128|aesgcm192|aesgcm256.
- Si se especifica aesgcm128, aesgcm192 o aesgcm256, se debe usar para la
integridad y el cifrado ESP.
- Aesgmac128, aesgmac192, aesgmac256, aesgcm128, aesgcm192, aesgcm256
y sha256 sólo se admiten en Windows Vista SP1 y posteriores.
- Si se establece qmsemethods en el valor predeterminado, también se
establecerá qmpfs en el valor predeterminado.
- Qmpfs=mainmode usa la configuración de intercambio de claves de modo
principal para PFS.
- No se recomienda el uso de DES, MD5 y DHGroup1. Estos algoritmos de
cifrado se proporcionan sólo para la compatibilidad con versiones
anteriores.
- Los caracteres " dentro del nombre de CA deben reemplazarse por \'
- Para auth1ca y auth2ca, el nombre de CA debe llevar el prefijo 'CN='.
- catype se puede usar para especificar el tipo de entidad de
certificación - catype=root/intermediate
- authnoencap se admite en Windows 7 y posteriores.
- authnoencap significa que los equipos sólo usarán la autenticación
y no usarán ningún tipo de encapsulación por paquetes ni algoritmos de
cifrado para proteger paquetes de red posteriores intercambiados como
parte de esta conexión.
- QMPFS y authnoencap no se pueden usar juntos en la misma regla.
- AuthNoEncap debe ir acompañado de al menos un conjunto de integridad
AH o ESP.
- Cuando mode=tunnel, la acción debe ser requireinrequireout,
requireinclearout o noauthentication.
- requireinclearout no es válida cuando mode=Transport.
- applyauthz sólo se puede especificar para reglas de modo de túnel.
- exemptipsecprotectedconnections sólo se puede especificar para reglas
de modo de túnel. Si esta marca se establece en "Yes", el tráfico
de ESP se excluirá del túnel.
El tráfico sólo de AH NO se excluirá del túnel.
- Port1, Port2 y Protocol sólo se pueden especificar cuando
mode=transport.
- Valuemin (cuando se especifica) para qmsecmethod debe encontrarse
entre 5 y 2880 minutos. Valuekb (cuando se especifica) para qmsecmethod
debe estar entre 20480 y 2147483647 kilobytes.
Ejemplos:
Cambiar el nombre de rule1 a rule2:
netsh advfirewall consec set rule name="rule1" new
name="rule2"
Cambiar la acción en una regla:
netsh advfirewall consec set rule name="rule1"
endpoint1=1.2.3.4 endpoint2=4.3.2.1 new action=requestinrequestout
Agregar una regla con propuestas de modo rápido personalizado:
netsh advfirewall consec set rule name="Custom QM" new
endpoint1=any endpoint2=any
qmsecmethods=authnoencap:aesgmac256,ah:aesgmac256+esp:aesgmac256-none
