Microsoft Windows [Version 6.1.7000] (C) Copyright 2009 Microsoft Corp. C:\Windows>netsh ipsec dynamic add rule ?
Szintaxis:
rule [ srcaddr = ] (ipv4 | ipv6 | ipv4-ipv4 | ipv6-ipv6 | dns | server)
[ dstaddr = ] (ipv4 | ipv6 | ipv4-ipv4 | ipv6-ipv6 | dns | server)
[ mmpolicy = ][[ qmpolicy = ]][[ protocol = ] (ANY | ICMP | TCP | UDP | RAW |) ][[ srcport = ]][[ dstport = ]][[ mirrored = ] (yes | no) ][[ conntype = ] (lan | dialup | all) ][[ actioninbound = ] (permit | block | negotiate) ][[ actionoutbound = ] (permit | block | negotiate) ][[ srcmask = ] (mask | prefix) ][[ dstmask = ] (mask | prefix) ][[ tunneldstaddress = ] (ip | dns) ][[ kerberos = ] (yes | no) ][[ psk = ]][[ rootca = ] " certmap:(yes | no)
excludecaname:(yes | no)" ]
Szabály hozzáadása.
Paraméterek:
Címke Érték
srcaddr A forrás IP-címe (ipv4 vagy ipv6), DNS-neve vagy
kiszolgálótípusa.
dstaddr A cél IP-címe (ipv4 vagy ipv6), DNS-neve vagy
kiszolgálótípusa.
mmpolicy Alapmódú házirend
qmpolicy Gyorsmódú házirend
protocol Értéke lehet ANY, ICMP, TCP, UDP, RAW vagy egy egész szám.
Port megadása esetén a megadható érték a TCP vagy az UDP.
srcport -Forrásport (a 0 tetszoleges portot jelent)
dstport -Célport (a 0 tetszoleges portot jelent)
mirrored -A 'Yes' érték két szurot hoz létre, mindkét irányban
egyet.
conntype -Kapcsolattípus
actioninbound -Bejövo csomagok muvelete
actionoutbound -Kimeno csomagok muvelete
srcmask -A forráscím maszkja vagy egy elotag 1-tol 32-ig.
Nem alkalmazható, ha az srcaddr címtartományra van
beállítva.
dstmask -A célcím maszkja vagy egy elotag 1-tol 32-ig.
Nem alkalmazható, ha a dstaddr címtartományra van
beállítva.
tunneldstaddress -Az alagút céljának IP-címe vagy DNS-neve.
kerberos -A 'yes' megadásakor Kerberos-hitelesítés alkalmazása.
psk -Megadott elomegosztott kulcsú hitelesítés alkalmazása.
rootca -Megadott fotanúsítvány használatával történo hitelesítés,
a certmap:Yes megadása esetén tanúsítvány-hozzárendelési
kísérlet, az excludecaname:Yes megadása esetén a
hitelesítésszolgáltató nevének kizárása.
Megjegyzések: 1. A port TCP és UDP esetén érvényes.
2. A kiszolgáló típusa WINS, DNS, DHCP vagy GATEWAY lehet.
3. Az actioninbound és az actionoutbound alapértelmezett
értéke a 'negotiate'.
4. Az alagútszabályok esetében a mirrored értéke csak 'no'
lehet.
5. A tanúsítvány, a hozzárendelés és a hitelesítésszolgáltató
névbeállításait idézojelbe kell tenni; a beágyazott
idézojeleket a \' karakterrel kell helyettesíteni.
6. A tanúsítvány-hozzárendelés csak a tartomány tagjaira
érvényes.
7. Több tanúsítványt a rootca paraméter többszöri
használatával biztosíthat.
8. A hitelesítési módszerek felajánlásának sorrendjét
a parancsbeli sorrend határozza meg.
9. Ha nincs megadva hitelesítési módszer, a dinamikus
alapértelmezések lesznek használva.
10. A legfelsobb szintu hitelesítésszolgáltató nevének
kizárása megakadályozza, hogy a név a tanúsítványkérelem
részeként el legyen küldve.
11. Ha címtartomány van megadva, a végpontoknak meghatározott
címeknek (nem listáknak vagy alhálózatoknak) és azonos
típusúaknak (mindketto v4 vagy mindketto v6) kell lenniük.
Példa: add rule srcaddr=192.168.145.110 dstaddr=192.168.145.215 mmpolicy=mmp
qmpolicy=qmp mirrored=no srcmask=32 dstmask=255.255.255.255
rootca="C=US,O=MSFT,CN=Microsoft Authenticode(tm) fotanúsítvány"
rootca="C=US,O=MSFT,CN=\'Microsoft Észak, Dél, Kelet és Nyugat
fotanúsítvány\' certmap:yes excludecaname:no"
