Microsoft Windows [Version 6.1.7000] (C) Copyright 2009 Microsoft Corp. C:\Windows>netsh ipsec dynamic set rule ?
Utilisation :
rule [ srcaddr = ] (ip | dns | server)
[ dstaddr = ] (ip | dns | server)
[ protocol = ] (ANY | ICMP | TCP | UDP | RAW |)
[ srcport = ][ dstport = ][ mirrored = ] (yes | no)
[ conntype = ] (lan | dialup | all)
[[ srcmask = ] (mask | prefix) ][[ dstmask = ] (mask | prefix) ][[ tunneldstaddress = ] (ip | dns) ][[ mmpolicy = ]][[ qmpolicy = ]][[ actioninbound = ] (permit | block | negotiate) ][[ actionoutbound = ] (permit | block | negotiate) ][[ kerberos = ] (yes | no) ][[ psk = ]][[ rootca = ] " certmap:(yes | no) excludecaname:
(yes | no)" ]
Modifie une règle et les filtres associés dans le SPD.
Paramètres :
Balise Valeur
srcaddr -Adresse ip source (ipv4 ou ipv6), plage d'adresses, nom
dns ou type de serveur.
dstaddr -Adresse ip de destination (ipv4 ou ipv6), plage d'adresses,
nom dns ou type de serveur.
protocol -Peut être ANY, ICMP, TCP, UDP, RAW, ou un entier.
srcport -Port source (0 signifie n'importe quel port)
dstport -Destination port (0 signifie n'importe quel port)
mirrored -La valeur « Yes » crée deux filtres, un dans chaque sens.
conntype -Type de connexion
srcmask -Masque d'adresses source ou préfixe de 1 à 32. Non
applicable si srcaddr est une plage
dstmask -Masque d'adresses de destination ou préfixe de 1 à 32. Non
applicable si dstaddr est une plage
tunneldstaddress -Adresse IP ou nom DNS de destination du tunnel.
mmpolicy -Stratégie Mode principal
qmpolicy -Stratégie Mode rapide
actioninbound -Action pour les paquets entrants
actionoutbound -Action pour les paquets sortants
kerberos -Fournit l'authentification Kerberos si « yes » est spécifié
psk -Fournit l'authentification en utilisant une clé
pré-partagée
rootca -Fournit l'authentification en utilisant un certificat
racine spécifié, va tenter de mapper le certificat si
certmap:Yes est spécifié, va exclure le nom de l'autorité
de certificat si excludecaname:Yes est spécifié.
Remarques : 1. Mmpolicy, qmpolicy, actioninbound, actionoutbound
et authmethods peuvent être définis, les autres champs sont
des identificateurs.
2. Le type de serveur peut être WINS, DNS, DHCP ou GATEWAY
3. Les paramètres de certificat, de mappage et d'AC doivent être
placés entre guillemets, les guillemets imbriqués doivent être
remplacés par \'.
4. Le mappage de certificats n'est valide que pour les membres
d'un domaine.
5. Plusieurs certificats peuvent être spécifiés en utilisant le
paramètre rootca plusieurs fois.
6. La préférence pour chaque méthode d'authentification est
déterminée par sa place dans la commande.
7. Si aucune méthode d'authentification n'est spécifiée, les
valeurs par défaut dynamiques sont utilisées.
8. Toutes les méthodes d'authentification sont remplacées par la
liste mentionnée.
9. L'exclusion du nom de l'autorité de certification (CA) racine
empêche l'envoi du nom au sein de la demande de certificat.
10. Si une plage d'adresses est spécifiée, les points de
terminaison doivent être des adresses spécifiques (ni listes,
ni sous-réseaux) et de même type (tous deux de v4 ou tous deux
v6).
Exemples : 1. set rule srca=WINS dsta=0.0.0.0 srcmask=32 dstmask=32
tunneldst=192.168.145.1
proto=tcp srcport=80 dstport=80 mir=no con=lan
qmp=qmp actionin=negotiate actionout=permit
2. set rule srcaddr=192.168.145.110 dstaddr=192.168.145.215
mmpolicy=mmp qmpolicy=qmp mirrored=no srcmask=32
rootca="C=US,O=MSFT,CN=Microsoft Authenticode(tm) Root
Authority"
rootca="C=US,O=MSFT,CN=\'Microsoft North, South, East, and West
Root Authority\' certmap:yes excludecaname:no"
