Microsoft Windows [Version 6.1.7000] (C) Copyright 2009 Microsoft Corp. C:\Windows>netsh ipsec dynamic add rule ?
Sintassi:
rule [ srcaddr = ] (ipv4 | ipv6 | ipv4-ipv4 | ipv6-ipv6 | dns | server)
[ dstaddr = ] (ipv4 | ipv6 | ipv4-ipv4 | ipv6-ipv6 | dns | server)
[ mmpolicy = ][[ qmpolicy = ]][[ protocol = ] (ANY | ICMP | TCP | UDP | RAW |) ][[ srcport = ]][[ dstport = ]][[ mirrored = ] (yes | no) ][[ conntype = ] (lan | dialup | all) ][[ actioninbound = ] (permit | block | negotiate) ][[ actionoutbound = ] (permit | block | negotiate) ][[ srcmask = ] (maschera | prefisso) ][[ dstmask = ] (maschera | prefisso) ][[ tunneldstaddress = ] (ip | dns) ][[ kerberos = ] (yes | no) ][[ psk = ]][[ rootca = ] " certmap:(yes | no) excludecaname:(yes | no)" ]
Aggiunge una regola.
Parametri:
Tag Valore
srcaddr -Indirizzo IP (ipv4 o ipv6), intervallo di indirizzi,
nome DNS o tipo di server di origine.
dstaddr -Indirizzo IP (ipv4 o ipv6), intervallo di indirizzi,
nome DNS o tipo di server di destinazione.
mmpolicy -Criterio per la modalità principale.
qmpolicy -Criterio per la modalità rapida.
protocol -Può essere ANY, ICMP, TCP, UDP, RAW o un numero intero.
Se si specifica una porta, sarà possibile utilizzare
solo i valori TCP e UDP.
srcport -Porta di origine (se si specifica 0, sarà possibile
utilizzare qualsiasi porta).
dstport -Porta di destinazione (se si specifica 0, sarà
possibile utilizzare qualsiasi porta).
mirrored -Se è specificato 'Yes', verranno creati due filtri,
uno per ogni direzione.
conntype -Tipo di connessione.
actioninbound -Azione per i pacchetti in entrata.
actionoutbound -Azione per i pacchetti in uscita.
srcmask -Maschera dell'indirizzo di origine o prefisso da 1 a 32.
Non applicabile se srcaddr è un intervallo.
dstmask -Maschera dell'indirizzo di destinazione o prefisso da
1 a 32. Non applicabile se dstaddr è un intervallo.
tunneldstaddress -Nome DNS o indirizzo IP di destinazione del tunnel .
kerberos -Se è specificato 'yes', fornisce l'autenticazione
kerberos.
psk -Fornisce l'autenticazione mediante una chiave già
condivisa specificata.
rootca -Fornisce l'autenticazione mediante un certificato
radice specificato.
Se è specificato certmap:Yes, tenta di eseguire il
mapping del certificato. Se è specificato
excludecaname:Yes, esclude il nome della CA.
Note: 1. Porta valida per TCP e UDP.
2. Il tipo di server può essere WINS, DNS, DHCP o GATEWAY.
3. Il valore predefinito per actioninbound e actionoutbound
è 'negotiate'.
4. Per le regole di tunneling, mirrored deve essere impostato
su 'no'.
5. Le impostazioni relative a certificato, mapping e nome della
CA devono essere racchiuse tra virgolette. Le virgolette
interne devono essere sostituite da \'.
6. Il mapping dei certificati è consentito solo per i membri
del dominio.
7. È possibile specificare più certificati ripetendo più volte
il parametro rootca.
8. La preferenza di ogni metodo di autenticazione è determinata
dall'ordine con cui compare nel comando.
9. Se non vengono specificati metodi di autenticazione, verranno
utilizzati valori predefiniti dinamici.
10. L'esclusione del nome dell'autorità radice impedisce che tale
nome venga inviato nell'ambito della richiesta di certificato.
11. Se è specificato un intervallo di indirizzi, gli endpoint
dovranno essere indirizzi specifici (non elenchi o subnet) e
dello stesso tipo (entrambi di tipo v4 o entrambi di tipo v6).
Esempio: add rule srcaddr=192.168.145.110 dstaddr=192.168.145.215 mmpolicy=mmp
qmpolicy=qmp mirrored=no srcmask=32 dstmask=255.255.255.255
rootca="C=US,O=MSFT,CN=Microsoft Authenticode(tm) Root Authority"
rootca="C=US,O=MSFT,CN=\'Microsoft North, South, East, and West Root
Authority\' certmap:yes excludecaname:no"
