Microsoft Windows [Version 6.1.7000] (C) Copyright 2009 Microsoft Corp. C:\Windows>netsh advfirewall firewall add rule ?
Uso: add rule name=
dir=in|out
action=allow|block|bypass
[program=][service=|any][description=][enable=yes|no (predeterminado=yes)][profile=public|private|domain|any[,...]][localip=any|||||][remoteip=any|localsubnet|dns|dhcp|wins|defaultgateway|||||][localport=0-65535|[,...]|RPC|
RPC-EPMap|IPHTTPS|any (predeterminado=any)][remoteport=0-65535|[,...]|any
(predeterminado=any)][protocol=0-255|icmpv4|icmpv6|icmpv4:type,code|icmpv6:type,code|
tcp|udp|any (predeterminado=any)][interfacetype=wireless|lan|ras|any][rmtcomputergrp=][rmtusrgrp=][edge=yes|deferapp|deferuser|no (predeterminado=no)][security=authenticate|authenc|authdynenc|authnoencap|notrequired
(predeterminado=notrequired)]
Notas:
- Agrega una regla de entrada o de salida nueva a la directiva de
firewall.
- El nombre de la regla debe ser único y no puede ser "all".
- Si se especifica un grupo de usuarios o equipos remotos, security se
debe establecer en authenticate, authenc, authdynenc o authnoencap.
- Si security se establece en authdynenc, los sistemas pueden negociar
dinámicamente el uso del cifrado para el tráfico que coincida con una
regla de Firewall de Windows determinada. El cifrado se negocia
basándose en las propiedades de la regla de seguridad de conexión
existente. Esta opción permite que un equipo acepte el primer paquete
TCP o UDP de una conexión IPsec entrante siempre y cuando esté
protegida, pero no cifrada, mediante IPsec.
Una vez procesado el primer paquete, el servidor renegociará la
conexión y la actualizará de modo que todas las comunicaciones
siguientes estén completamente cifradas.
- Si action=bypass, el grupo de equipos remotos debe especificarse
cuando dir=in.
- Si service=any, la regla se aplica sólo a servicios.
- El código o tipo ICMP puede ser "any".
- Edge sólo se puede especificar para reglas de entrada.
- Los valores authenc y authnoencap no pueden usarse juntos.
- El valor authdynenc sólo es válido cuando dir=in.
- Cuando se establece authnoencap, la opción security=authenticate se
convierte en un parámetro opcional.
Ejemplos:
Agregar una regla de entrada sin seguridad de encapsulación para
messenger.exe:
netsh advfirewall firewall add rule name="permitir messenger"
dir=in program="c:\archivos de programa\messenger\msmsgs.exe"
security=authnoencap action=allow
Agregar una regla de salida para el puerto 80:
netsh advfirewall firewall add rule name="permitir80"
protocol=TCP dir=out localport=80 action=block
Agregar una regla de entrada que requiera seguridad y cifrado para el
tráfico TCP del puerto 80:
netsh advfirewall firewall add rule
name="Requerir cifrado para el tráfico TCP/80 entrante"
protocol=TCP dir=in localport=80 security=authdynenc
action=allow
Agregar una regla de entrada para messenger.exe y requerir seguridad
netsh advfirewall firewall add rule name="permitir messenger"
dir=in program="c:\archivos de programa\messenger\msmsgs.exe"
security=authenticate action=allow
Agregar una regla de bypass de firewall autenticado para el grupo
acmedomain\escáneres identificado por una cadena SDDL:
netsh advfirewall firewall add rule name="permitir escáneres""
dir=in rmtmachgrp= action=bypass
security=authenticate
Agregar una regla de permiso de salida para los puertos locales
5000-5010 para udp-
Add rule name="Permitir intervalo de puertos" dir=out protocol=udp
localport=5000-5010 action=allow