Microsoft Windows [Version 6.1.7000] (C) Copyright 2009 Microsoft Corp. C:\Windows>netsh ipsec dynamic add rule ?
Utilisation :
rule [ srcaddr = ] (ipv4 | ipv6 | ipv4-ipv4 | ipv6-ipv6 | dns | server)
[ dstaddr = ] (ipv4 | ipv6 | ipv4-ipv4 | ipv6-ipv6 | dns | server)
[ mmpolicy = ][[ qmpolicy = ]][[ protocol = ] (ANY | ICMP | TCP | UDP | RAW |) ][[ srcport = ]][[ dstport = ]][[ mirrored = ] (yes | no) ][[ conntype = ] (lan | dialup | all) ][[ actioninbound = ] (permit | block | negotiate) ][[ actionoutbound = ] (permit | block | negotiate) ][[ srcmask = ] (mask | prefix) ][[ dstmask = ] (mask | prefix) ][[ tunneldstaddress = ] (ip | dns) ][[ kerberos = ] (yes | no) ][[ psk = ]][[ rootca = ] " certmap:(yes | no) excludecaname:
(yes | no)" ]
Ajoute une règle.
Paramètres :
Balise Valeur
srcaddr - Adresse ip source (ipv4 ou ipv6), plage d'adresses, nom
dns, ou type de serveur.
dstaddr -Adresse ip de destination (ipv4 ou ipv6), plage d'adresses,
nom dns, ou type de serveur.
mmpolicy -Stratégie Mode principal
qmpolicy -Stratégie Mode rapide
protocol -Peut être ANY, ICMP, TCP, UDP, RAW, ou un entier.
Si vous spécifiez un port, la valeur acceptable est TCP ou
UDP.
srcport -Port source (0 signifie n'importe quel port)
dstport -Port de destination (0 signifie n'importe quel port)
mirrored -La valeur « Yes » crée deux filtres, un dans chaque sens.
conntype -Type de connexion
actioninbound -Action pour les paquets entrants
actionoutbound -Action pour les paquets sortants
srcmask -Masque d'adresses source ou préfixe de 1 à 32. Non
applicable si srcaddr est une plage
dstmask -Masque d'adresses de destination ou préfixe de 1 à 32. Non
applicable si dstaddr est une plage
tunneldstaddress -Adresse IP ou nom DNS de destination du tunnel.
kerberos -Fournit l'authentification Kerberos si « yes » est spécifié.
psk -Fournit l'authentification en utilisant une clé
pré-partagée.
rootca -Fournit l'authentification en utilisant un certificat
racine spécifié, va tenter de mapper le certificat si
certmap:Yes est spécifié, va exclure le nom de l'autorité
de certificat si excludecaname:Yes est spécifié.
Remarques : 1. Port valide pour TCP et UDP.
2. Le type de serveur peut être WINS, DNS, DHCP ou GATEWAY
3. La valeur par défaut pour actioninbound et actionoutbound est
« negotiate ».
4. Pour les règles de tunnel, mirrored doit être défini à « No ».
5. Les paramètres du certificat, du mappage et du nom de
l'autorité de certification sont tous entre guillemets ; les
guillemets intégrés sont remplacés par \'.
6. Le mappage de certificat est valide uniquement pour les membres
du domaine.
7. Plusieurs certificats peuvent être fournis en utilisant le
paramètre rootca plusieurs fois.
8. La préférence de chaque méthode d'authentification est définie
par son ordre dans la commande.
9. Si aucune méthode d'authentification n'est définie, les valeurs
par défaut dynamiques sont utilisées.
10. L'exclusion du nom de l'autorité de certification (CA) racine
empêche l'envoi du nom au sein de la demande de certificat.
11. Si une plage d'adresses est spécifiée, les points de
terminaison doivent être des adresses spécifiques (ni listes,
ni sous-réseaux) et de même type (tous deux de v4 ou tous deux
v6).
Exemples : add rule srcaddr=192.168.145.110 dstaddr=192.168.145.215
mmpolicy=mmp qmpolicy=qmp mirrored=no srcmask=32
dstmask=255.255.255.255 rootca="C=US,O=MSFT,CN=Microsoft
Authenticode(tm) Root Authority"
rootca="C=US,O=MSFT,CN=\'Microsoft North, South, East, and
West Root Authority\' certmap:yes excludecaname:no"
