Microsoft Windows [Version 6.1.7000] (C) Copyright 2009 Microsoft Corp. C:\Windows>netsh advfirewall firewall add rule ?
Sintassi: add rule name=
dir=in|out
action=allow|block|bypass
[program=][service=|any][description=][enable=yes|no (impostazione predefinita=yes)][profile=public|private|domain|any[,...]][localip=any|||||][remoteip=any|localsubnet|dns|dhcp|wins|defaultgateway|||||][localport=0-65535|[,...]|RPC|RPC-EPMap|IPHTTPS|any
(impostazione predefinita=any)][remoteport=0-65535|[,...]|any (impostazione
predefinita=any)][protocol=0-255|icmpv4|icmpv6|icmpv4:type,code|icmpv6:type,code|
tcp|udp|any (impostazione predefinita=any)][interfacetype=wireless|lan|ras|any][rmtcomputergrp=][rmtusrgrp=][edge=yes|deferapp|deferuser|no (impostazione predefinita=no)][security=authenticate|authenc|authdynenc|authnoencap|notrequired
(impostazione predefinita=notrequired)]
Note:
- Aggiunge ai criteri firewall una nuova regola per il traffico
in entrata o in uscita.
- La regola deve essere univoca e non può essere "all".
- Se è specificato un gruppo di utenti o un computer remoto,
il parametro security deve essere impostato su
authenticate, authenc, authdynenc o authnoencap.
- L'impostazione di security su authdynenc consente ai sistemi di
negoziare in modo dinamico l'uso della crittografia per il traffico
che soddisfa una determinata regola di Windows Firewall.
La crittografia viene negoziata in base alle proprietà delle regole di
sicurezza di connessione esistenti. Questa opzione consente a un
computer di accettare il primo pacchetto TCP o UDP di una connessione
IPsec in entrata purché protetto, ma non crittografato, tramite IPsec.
Dopo l'elaborazione del primo pacchetto, il server rinegozierà la
connessione e la aggiornerà in mdo che tutte le comunicazioni
successive siano completamente crittografate.
- Se action=bypass, il gruppo di computer remoti deve essere specificato
quando dir=in.
- Se service=any, la regola viene applicata solo ai servizi.
- Il tipo o il codice ICMP può essere "any".
- Il confine può essere specificato solo per le regole relative al
traffico in entrata.
- AuthEnc e authnoencap non possono essere utilizzati insieme.
- Authdynenc è valido solo quando dir=in.
- Quando si imposta authnoencap, l'opzione security=authenticate diventa
un parametro facoltativo.
Esempi:
Il comando seguente aggiunge una regola per il traffico in entrata
senza sicurezza di incapsulamento per messenger.exe:
netsh advfirewall firewall add rule name="allow messenger"
dir=in program="c:\programfiles\messenger\msmsgs.exe"
security=authnoencap action=allow
Il comando seguente aggiunge una regola per il traffico
in uscita per la porta 80:
netsh advfirewall firewall add rule name="allow80"
protocol=TCP dir=out localport=80 action=block
Il comando seguente aggiunge una regola per il traffico
in entrata che richiede sicurezza e crittografia
per il traffico TCP sulla porta 80:
netsh advfirewall firewall add rule
name="Require Encryption for Inbound TCP/80"
protocol=TCP dir=in localport=80 security=authdynenc
action=allow
Il comando seguente aggiunge una regola in entrata per messenger.exe
e richiede l'applicazione della sicurezza
netsh advfirewall firewall add rule name="allow messenger"
dir=in program="c:\program files\messenger\msmsgs.exe"
security=authenticate action=allow
Il comando seguente aggiunge una regola di eccezione
per un firewall con autenticazione per il gruppo
acmedomain\scanners identificato da una stringa SDDL:
netsh advfirewall firewall add rule name="allow scanners"
dir=in rmtcomputergrp= action=bypass
security=authenticate
Il comando seguente aggiunge una regola che consente
il traffico in uscita per le porte locali 5000-5010 per udp-
Add rule name="Allow port range" dir=out protocol=udp localport=5000-5010
action=allow
