Microsoft Windows [Version 6.1.7000] (C) Copyright 2009 Microsoft Corp. C:\Windows>netsh advfirewall consec set rule ?
Szintaxis: set rule
group=| name=[type=dynamic|static][profile=public|private|domain|any[,...] (alapértelmezés: any)][endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|||||][endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|||||][port1=0-65535|[,...]|any][port2=0-65535|[,...]|any][protocol=0-255|tcp|udp|icmpv4|icmpv6|any]
new
[name=][profile=public|private|domain|any[,...]][description=][mode=transport|tunnel][endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|||||][endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|||||][action=requireinrequestout|requestinrequestout|
requireinrequireout|requireinclearout|noauthentication][enable=yes|no][type=dynamic|static][localtunnelendpoint=any||][remotetunnelendpoint=any||][port1=0-65535|[,...]|any][port2=0-65535|[,...]|any][protocol=0-255|tcp|udp|icmpv4|icmpv6|any][interfacetype=wiresless|lan|ras|any][auth1=computerkerb|computercert|computercertecdsap256|
computercertecdsap384|computerpsk|computerntlm|anonymous[,...]][auth1psk=][auth1ca="[certmapping:yes|no][excludecaname:yes|no][catype:root|intermediate (alapértelmezés: root)]| ..."][auth1healthcert=yes|no][auth1ecdsap256ca="[certmapping:yes|no][excludecaname:yes|no][catype:root|intermediate (alapértelmezés: root)]| ..."][auth1ecdsap256healthcert=yes|no (alapértelmezés: no)][auth1ecdsap384ca="[certmapping:yes|no][excludecaname:yes|no][catype:root|intermediate (alapértelmezés: root)]| ..."][auth1ecdsap384healthcert=yes|no (alapértelmezés: no)][auth2=computercert|computercertecdsap256|computercertecdsap384|
userkerb|usercert|usercertecdsap256|usercertecdsap384|userntlm|
anonymous[,...]][auth2ca="[certmapping:yes|no][catype:root|intermediate (alapértelmezés: root)]| ..."][auth2ecdsap256ca="[certmapping:yes|no][catype:root|intermediate (alapértelmezés: root)]| ..."][auth2ecdsap384ca="[certmapping:yes|no][catype:root|intermediate (alapértelmezés: root)]| ..."][qmpfs=dhgroup1|dhgroup2|dhgroup14|ecdhp256|ecdhp384|mainmode|none][qmsecmethods=authnoencap:+[valuemin]+[valuekb]|
ah:+esp:-
+[valuemin]+[valuekb]|default][exemptipsecprotectedconnections=yes|no (alapértelmezés: no)][applyauthz=yes|no (alapértelmezés: no)]
Megjegyzések:
- Új paraméterérték beállítása egy megadott szabályra. Ha nem létezik a
szabály, a parancs sikertelen. A szabályok létrehozására az add
parancs használható.
- A new kulcsszó után szereplo értékek frissülnek a szabályban. Ha
nincsenek értékek, vagy hiányzik a new kulcsszó, nem történnek
változások.
- A szabálycsoportok esetében csak engedélyezésre és letiltásra nyílik
lehetoség.
- Ha több szabály megfelel a feltételeknek, minden ilyen szabály
frissül.
- A szabály nevének egyedinek kell lennie, és értéke nem lehet "all".
- Az auth1 és az auth2 a lehetoségek vesszovel tagolt listája
lehet.
- A computerpsk és a computerntlm metódus nem adható meg egyszerre az
auth1 esetében.
- A computercert nem adható meg az auth2 felhasználói hitelesíto
adataival.
- Az ecdsap256 és az ecdsap384 hitelesítés-aláírási algoritmust csak a
Windows Vista SP1 és az újabb rendszerek támogatják.
- A qmsecmethods az ajánlatok vesszovel tagolt listája
lehet.
- A qmsecmethods esetében az
integrity=md5|sha1|sha256|aesgmac128|aesgmac192|
aesgmac256|aesgcm128|aesgcm192|aesgcm256 és az encryption=
3des|des|aes128|aes192|aes256|aesgcm128|aesgcm192|aesgcm256.
- Az aesgcm128, az aesgcm192 vagy az aesgcm256 megadása esetén azt kell
használni úgy az ESP-sértetlenséghez, mint a titkosításhoz.
- Az aesgmac128, aesgmac192, aesgmac256, aesgcm128, aesgcm192,
aesgcm256 és az sha256 algoritmust csak a Windows Vista SP1 és az
újabb rendszerek támogatják.
- A qmsemethods alapértékre állítása esetén a qmpfs is alapértékre
áll.
- A Qmpfs=mainmode esetén a PFS az alapmódú kulcscsere-beállításokat
használja.
- A DES, az MD5 és a DHGroup1 használata nem ajánlott. Ezek a
kriptográfiai algoritmusok csak a korábbi rendszerekkel való
kompatibilitást szolgálják.
- A hitelesítésszolgáltató nevében szereplo " karaktereket a \'
karaktersorozattal kell helyettesíteni.
- Az auth1ca és az auth2ca esetén a hitelesítésszolgáltató neve elé
ki kell tenni a CN= karaktereket.
- A catype a hitelesítés típusának megadására használható -
catype=root/intermediate
- Az authnoencap a Windows 7 és az újabb rendszerekben támogatott.
- Az authnoencap azt jelenti, hogy a számítógépek csak hitelesítést
használnak, csomagonkénti beágyazást vagy titkosítási algoritmusokat
azonban nem alkalmaznak az ilyen kapcsolat részeként cserélt, egymás
utáni hálózati csomagok védelméhez.
- A QMPFS és az authnoencap nem használható együtt ugyanarra
a szabályra.
- Az AuthNoEncap mellett meg kell adni legalább egy AH vagy ESP
sértetlenségi készletet.
- Ha a mode paraméter értéke tunnel, csak a requireinrequireout, a requireinclearout
vagy a noauthentication muvelet választható.
- A requireinclearout nem érvényes, ha a mode paraméter Transport értéku.
- Az applyauthz csak alagútmódú szabályokhoz adható meg.
- Az exemptipsecprotectedconnections csak alagútmódú
szabályokhoz adható meg. A jelzo "Igen" értékre állításával az
ESP-forgalom ki lesz zárva az alagútból.
A kizárólagosan AH-forgalom nem lesz kizárva az alagútból.
- A Port1, a Port2 és a Protocol elem csak akkor adható meg,
ha a mode paraméter értéke transport.
- A qmsecmethod Valuemin értékének (megadása esetén) 5-2880
percnek kell lennie. A qmsecmethod Valuekb értékének (megadása esetén)
20480-2147483647 kilobájt közé kell esnie.
Példák:
A szabaly1 átnevezése szabaly2 névre:
netsh advfirewall consec set rule name="szabaly1" new
name="szabaly2"
Egy szabály muveletének módosítása:
netsh advfirewall consec set rule name="szabaly1"
endpoint1=1.2.3.4 endpoint2=4.3.2.1 new action=requestinrequestout
Egyéni gyorsmódú ajánlatokat tartalmazó szabály hozzáadása:
netsh advfirewall consec set rule name="egyeni gyorsmod" new
endpoint1=any endpoint2=any
qmsecmethods=authnoencap:aesgmac256,ah:aesgmac256+esp:aesgmac256-none
