Microsoft Windows [Version 6.1.7000] (C) Copyright 2009 Microsoft Corp. C:\Windows>netsh advfirewall firewall add rule ?
Syntaxe : add rule name=
dir=in|out
action=allow|block|bypass
[program=][service=|any][description=][enable=yes|no (par défaut=yes)][profile=public|private|domain|any[,...]][localip=any|||||][remoteip=any|localsubnet|dns|dhcp|wins|defaultgateway|||||][localport=0-65535|[,...]|RPC|RPC-EPMap|IPHTTPS|any
(par défaut=any)][remoteport=0-65535|[,...]|any (par défaut=any)][protocol=0-255|icmpv4|icmpv6|icmpv4:type,code|icmpv6:type,code|
tcp|udp|any (par défaut=any)][interfacetype=wireless|lan|ras|any][rmtcomputergrp=][rmtusrgrp=][edge=yes|deferapp|deferuser|no (par défaut=no)][security=authenticate|authenc|authdynenc|authnoencap|notrequired
(par défaut=notrequired)]
Remarques :
- Ajoute une nouvelle règle de trafic entrant ou sortant à la stratégie
de pare-feu.
- Le nom de la règle doit être unique et ne peut pas être « all ».
- Si un groupe d'ordinateurs ou d'utilisateurs distants est spécifié,
security doit avoir la valeur authenticate, authenc, authdynenc
ou authnoencap.
- L'affectation à security de la valeur authdynenc permet aux systèmes de
négocier dynamiquement l'utilisation du chiffrement pour le trafic qui
correspond à une règle de pare-feu Windows. Le chiffrement est négocié
en fonction des propriétés de règle de connexion existantes. Cette
option permet à un ordinateur d'accepter le premier paquet TCP ou UDP
d'une connexion IPsec entrante à condition qu'elle soit sécurisée, mais
pas chiffrée, à l'aide d'IPsec.
Une fois le premier paquet traité, le serveur
renégocie la connexion et la met à niveau afin que
toutes les communications ultérieures soient chiffrées.
- Si action=bypass, le groupe d'ordinateurs distants doit être spécifié
lorsque dir=in.
- Si service=any, la règle s'applique uniquement aux services.
- Le code ou type ICMP peut être « any ».
- Edge ne peut être spécifié que pour les règles de trafic entrant.
- AuthEnc et authnoencap ne peuvent pas être utilisés conjointement.
- Authdynenc est valide uniquement lorsque dir=in.
- Lorsque authnoencap est défini, l'option security=authenticate devient
un paramètre facultatif.
Exemples :
Ajouter une règle de trafic entrant sans sécurité d'encapsulation pour
messenger.exe :
netsh advfirewall firewall add rule name="allow messenger"
dir=in program="c:\programfiles\messenger\msmsgs.exe"
security=authnoencap action=allow
Ajouter une règle de trafic sortant pour le port 80 :
netsh advfirewall firewall add rule name="allow80"
protocol=TCP dir=out localport=80 action=block
Ajouter une règle de trafic entrant exigeant la sécurité et
le chiffrement pour le trafic TCP du port 80 :
netsh advfirewall firewall add rule
name="Require Encryption for Inbound TCP/80"
protocol=TCP dir=in localport=80 security=authdynenc
action=allow
Ajouter une règle de trafic entrant pour messenger.exe et exiger
la sécurité :
netsh advfirewall firewall add rule name="allow messenger"
dir=in program="c:\program files\messenger\msmsgs.exe"
security=authenticate action=allow
Ajouter une règle de contournement de pare-feu authentifié pour le groupe
acmedomain\scanners identifié par une chaîne SDDL :
netsh advfirewall firewall add rule name="allow scanners"
dir=in rmtcomputergrp= action=bypass
security=authenticate
Ajouter une règle d'autorisation sortante pour les ports locaux 5000-5010
pour UDP :
Add rule name="Allow port range" dir=out protocol=udp localport=5000-5010
action=allow
