Microsoft Windows [Version 6.1.7000] (C) Copyright 2009 Microsoft Corp. C:\Windows>netsh ipsec dynamic set rule ?
Szintaxis:
rule [ srcaddr = ] (ip | dns | server)
[ dstaddr = ] (ip | dns | server)
[ protocol = ] (ANY | ICMP | TCP | UDP | RAW |)
[ srcport = ][ dstport = ][ mirrored = ] (yes | no)
[ conntype = ] (lan | dialup | all)
[[ srcmask = ] (mask | prefix) ][[ dstmask = ] (mask | prefix) ][[ tunneldstaddress = ] (ip | dns) ][[ mmpolicy = ]][[ qmpolicy = ]][[ actioninbound = ] (permit | block | negotiate) ][[ actionoutbound = ] (permit | block | negotiate) ][[ kerberos = ] (yes | no) ][[ psk = ]][[ rootca = ] " certmap:(yes | no)
excludecaname:(yes | no)" ]
Egy szabály és a kapcsolódó szurok módosítása a biztonsági házirendek
adatbázisában.
Paraméterek:
Címke Érték
srcaddr A forrás IP-címe (ipv4 vagy ipv6), címtartománya, DNS-neve
vagy kiszolgálótípusa.
dstaddr A cél IP-címe (ipv4 vagy ipv6), címtartománya, DNS-neve
vagy kiszolgálótípusa.
protocol Értéke lehet ANY, ICMP, TCP, UDP, RAW vagy egy egész szám.
srcport Forrásport (a 0 tetszoleges portot jelent)
dstport Célport (a 0 tetszoleges portot jelent)
mirrored A 'Yes' érték két szurot hoz létre, mindkét irányban
egyet.
conntype Kapcsolattípus
srcmask A forráscím maszkja vagy egy elotag 1-tol 32-ig.
Nem alkalmazható, ha az srcaddr címtartományra van
beállítva.
dstmask A célcím maszkja vagy egy elotag 1-tol 32-ig.
Nem alkalmazható, ha a dstaddr címtartományra van
beállítva.
tunneldstaddress Az alagút céljának IP-címe vagy DNS-neve.
mmpolicy Alapmódú házirend
qmpolicy Gyorsmódú házirend
actioninbound Bejövo csomagok muvelete
actionoutbound Kimeno csomagok muvelete
kerberos A 'yes' megadásakor Kerberos-hitelesítés alkalmazása
psk Adott elomegosztott kulcsú hitelesítés alkalmazása
rootca Adott fotanúsítvány használatával történo
hitelesítés, a certmap:Yes megadása esetén
tanúsítvány-hozzárendelési kísérlet,
az excludecaname:Yes megadása esetén
a hitelesítésszolgáltató nevének kizárása.
Megjegyzések:
1. Az mmpolicy, qmpolicy, actioninbound, actionoutbound
és az authmethods beállíthatók, a többi mezo azonosító.
2. A kiszolgáló típusa lehet WINS, DNS, DHCP vagy GATEWAY
3. A tanúsítvány, a hozzárendelés és a hitelesítésszolgáltató
névbeállításait idézojelbe kell tenni; a beágyazott
idézojeleket a \' karakterrel kell helyettesíteni.
4. A tanúsítvány-hozzárendelés csak a tartomány tagjaira érvényes.
5. Több tanúsítványt a rootca paraméter többszöri használatával
biztosíthat.
6. A hitelesítési módszerek felajánlásának sorrendjét
a parancsbeli sorrend határozza meg.
7. Ha nincs megadva hitelesítési módszer, a dinamikus
alapértelmezések lesznek használva.
8. A megadott lista minden hitelesítési módszert felülír.
9. A legfelsobb szintu hitelesítésszolgáltató nevének kizárása
megakadályozza, hogy a név a tanúsítványkérelem részeként el
legyen küldve.
10. Ha címtartomány van megadva, a végpontoknak meghatározott
címeknek (nem listáknak vagy alhálózatoknak) és azonos
típusúaknak (mindketto v4 vagy mindketto v6) kell lenniük.
Példák: 1. set rule srca=WINS dsta=0.0.0.0 srcmask=32 dstmask=32
tunneldst=192.168.145.1
proto=tcp srcport=80 dstport=80 mir=no con=lan
qmp=qmp actionin=negotiate actionout=permit
2. set rule srcaddr=192.168.145.110 dstaddr=192.168.145.215
mmpolicy=mmp qmpolicy=qmp mirrored=no srcmask=32
rootca="C=US,O=MSFT,CN=Microsoft Authenticode(tm) fotanúsítvány"
rootca="C=US,O=MSFT,CN=\'Microsoft Észak, Dél, Kelet és Nyugat
fotanúsítvány\' certmap:yes excludecaname:no"
