Microsoft Windows [Version 6.1.7000] (C) Copyright 2009 Microsoft Corp. C:\Windows>netsh ipsec dynamic set rule ?
Sintassi:
rule [ srcaddr = ] (ip | dns | server)
[ dstaddr = ] (ip | dns | server)
[ protocol = ] (ANY | ICMP | TCP | UDP | RAW |)
[ srcport = ][ dstport = ][ mirrored = ] (yes | no)
[ conntype = ] (lan | dialup | all)
[[ srcmask = ] (maschera | prefisso) ][[ dstmask = ] (maschera | prefisso) ][[ tunneldstaddress = ] (ip | dns) ][[ mmpolicy = ]][[ qmpolicy = ]][[ actioninbound = ] (permit | block | negotiate) ][[ actionoutbound = ] (permit | block | negotiate) ][[ kerberos = ] (yes | no) ][[ psk = ]][[ rootca = ] " certmap:(yes | no) excludecaname:(yes | no)" ]
Modifica una regola e i filtri associati in SPD.
Parametri:
Tag Valore
srcaddr - Indirizzo IP (ipv4 o ipv6), intervallo di indirizzi,
nome DNS o tipo di server di origine.
dstaddr -Indirizzo IP (ipv4 o ipv6), intervallo di indirizzi,
nome DNS o tipo di server di destinazione.
protocol -Può essere ANY, ICMP, TCP, UDP, RAW o un numero intero.
srcport -Porta di origine. Se è specificato 0, è possibile
utilizzare qualsiasi porta.
dstport -Porta di destinazione. Se è specificato 0, è possibile
utilizzare qualsiasi porta.
mirrored -'Yes' crea due filtri, uno per ogni direzione.
conntype -Tipo di connessione.
srcmask -Maschera dell'indirizzo di origine o prefisso da 1 a 32.
Non applicabile se srcaddr è un intervallo.
dstmask -Maschera dell'indirizzo di destinazione o prefisso da 1
a 32. Non applicabile se dstaddr è un intervallo.
tunneldstaddress -Nome DNS o indirizzo IP di destinazione del tunnel.
mmpolicy -Criterio per la modalità principale.
qmpolicy -Criterio per la modalità rapida.
actioninbound -Azione per i pacchetti in entrata.
actionoutbound -Azione per i pacchetti in uscita.
kerberos -Se è specificato 'yes' fornisce l'autenticazione
kerberos.
psk -Fornisce l'autenticazione mediante una chiave già
condivisa specificata.
rootca -Fornisce l'autenticazione mediante un certificato
radice specificato.
Se è specificato certmap:Yes tenta di eseguire il mapping
del certificato. Se è specificato excludecaname:Yes
esclude il nome della CA.
Note: 1. Mmpolicy, qmpolicy, actioninbound, actionoutbound
e authmethods possono essere impostati. Gli altri campi sono identificatori.
2. Il tipo di server può essere WINS, DNS, DHCP o GATEWAY.
3. Le impostazioni relative a certificato, mapping e nome della CA
devono essere racchiuse tra virgolette. Le virgolette interne
devono essere sostituite da \'.
4. Il mapping dei certificati è consentito solo per i membri del
dominio.
5. È possibile specificare più certificati ripetendo più volte
il parametro rootca.
6. La preferenza di ogni metodo di autenticazione è determinata
dall'ordine con cui compare nel comando.
7. Se non vengono specificati metodi di autenticazione, verranno
utilizzati valori predefiniti dinamici.
8. Tutti i metodi di autenticazione vengono sovrascritti con
l'elenco specificato.
9. L'esclusione del nome dell'autorità radice impedisce che tale
nome venga inviato nell'ambito della richiesta di certificato.
10. Se è specificato un intervallo di indirizzi, gli endpoint
dovranno essere indirizzi specifici (non elenchi o subnet) e
dello stesso tipo (entrambi di tipo v4 o entrambi di tipo v6).
Esempi: 1. set rule srca=WINS dsta=0.0.0.0 srcmask=32 dstmask=32
tunneldst=192.168.145.1
proto=tcp srcport=80 dstport=80 mir=no con=lan
qmp=qmp actionin=negotiate actionout=permit
2. set rule srcaddr=192.168.145.110 dstaddr=192.168.145.215
mmpolicy=mmp qmpolicy=qmp mirrored=no srcmask=32
rootca="C=US,O=MSFT,CN=Microsoft Authenticode(tm) Root Authority"
rootca="C=US,O=MSFT,CN=\'Microsoft North, South, East, and West
Root Authority\' certmap:yes excludecaname:no"
