Microsoft Windows
[Version 6.1.7000
](C) Copyright 2009 Microsoft Corp.
C
:\Windows>netsh ipsec dynamic add rule ?
使用法
:
rule
[ srcaddr =
] (ipv4
| ipv6
| ipv4-ipv4
| ipv6-ipv6
| dns
| server)
[ dstaddr =
] (ipv4
| ipv6
| ipv4-ipv4
| ipv6-ipv6
| dns
| server)
[ mmpolicy =
] <文字列>
[ [ qmpolicy =
] <文字列>
]
[ [ protocol =
] (ANY
| ICMP
| TCP
| UDP
| RAW
| <整数>)
]
[ [ srcport =
] <ポート>
]
[ [ dstport =
] <ポート>
]
[ [ mirrored =
] (yes
| no)
]
[ [ conntype =
] (lan
| dialup
| all)
]
[ [ actioninbound =
] (permit
| block
| negotiate)
]
[ [ actionoutbound =
] (permit
| block
| negotiate)
]
[ [ srcmask =
] (mask
| prefix)
]
[ [ dstmask =
] (mask
| prefix)
]
[ [ tunneldstaddress =
] (ip
| dns)
]
[ [ kerberos =
] (yes
| no)
]
[ [ psk =
] <事前共有キー>
]
[ [ rootca =
] "<証明書> certmap
:(yes
| no) excludecaname
:(yes
| no)"
]
規則を追加します。
パラメーター
:
タグ 値
srcaddr -発信元の ip アドレス (ipv4 または ipv6)、アドレスの範囲、
dns 名、またはサーバーの種類
dstaddr -宛先の ip アドレス(ipv4 または ipv6)、アドレスの範囲、
dns 名、またはサーバーの種類
mmpolicy -メイン モード ポリシー
qmpolicy -クイック モード ポリシー
protocol -ANY、ICMP、TCP、UDP、RAW または整数。ポートを指定する場合
は、値は TCP または UDP である必要があります。
srcport -発信元ポート (0 は任意のポートを意味します)
dstport -宛先ポート (0 は任意のポ
[トを意味します)
mirrored -'Yes' は、2 つのフィルターを各方向に作成します。
conntype -接続の種類
actioninbound -受信パケットの操作
actionoutbound -送信パケットの操作
srcmask -発信元のアドレス マスク、または 1 から 32 のプレフィックス。
srcaddr が範囲に設定されている場合は適用されません。
dstmask -宛先のアドレス マスク、または 1 から 32 のプレフィックス。
dstaddr が範囲に設定されている場合は適用されません。
tunneldstaddress -トンネルの宛先の ip アドレスまたは dns 名
kerberos -'yes' を指定すると、Kerberos 認証が提供されます。
psk -指定された事前共有キーを使用して、認証が提供されます。
rootca -指定されたルート証明書を使用して、認証が提供されます。
certmap
:Yes を指定する場合、証明書のマップが試行されます。
excludecaname
:Yes を指定する場合、CA 名が除外されます。
注釈
: 1. TCP および UDP に有効なポートです。
2. サーバーの種類は WINS、DNS、DHCP または GATEWAY を指定します。
3. actioninbound および actionoutbound の既定値は negotiate です。
4. トンネルには、mirrored を 'no' に設定する必要があります。
5. 証明書、マッピング、および CA 名の設定はすべて引用符で囲み、
埋め込み引用符は \' に置き換えられます。
6. 証明書のマッピングはドメイン メンバーにのみ有効です。
7. rootca パラメーターを複数回使用すると、複数の証明書
を提供できます。
8. 各認証方法の優先順位は、コマンドの順序で決定されます。
9. 認証方法がw定されない場合、動的な既定値が使用されます。
10. ルート証明機関 (CA) 名を除外すると、名前が証明書要求の一部
として送信されなくなります
11. アドレスの範囲が指定されている場合は、エンドポイントは特定のアドレス
(一覧やサブネットではなく) であり、同じ種類 (いずれも v4 であるか
いずれも v6 である) である必要があります。
例
: add rule srcaddr=192.168.145.110 dstaddr=192.168.145.215 mmpolicy=mmp
qmpolicy=qmp mirrored=no srcmask=32 dstmask=255.255.255.255
rootca="C=US,O=MSFT,CN=Microsoft Authenticode(tm) Root Authority"
rootca="C=US,O=MSFT,CN=\'Microsoft North, South, East, and West Root
Authority\' certmap
:yes excludecaname
:no"
