netsh » advfirewall » consec » add » rule

Microsoft Windows [Version 6.1.7000]
(C) Copyright 2009 Microsoft Corp.
C:\Windows>netsh advfirewall consec add rule ? Utilização: add rule name= endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway| |||| endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway| |||| action=requireinrequestout|requestinrequestout| requireinrequireout|requireinclearout|noauthentication [description=] [mode=transport|tunnel (predefinição=transport)] [enable=yes|no (predefinição=yes)] [profile=public|private|domain|any[,...] (predefinição=any)] [type=dynamic|static (predefinição=static)] [localtunnelendpoint=any||] [remotetunnelendpoint=any||] [port1=0-65535|[,...]|any (predefinição=any)] [port2=0-65535|[,...]|any (predefinição=any)] [protocol=0-255|tcp|udp|icmpv4|icmpv6|any (predefinição=any)] [interfacetype=wiresless|lan|ras|any (predefinição=any)] [auth1=computerkerb|computercert|computercertecdsap256| computercertecdsap384|computerpsk|computerntlm|anonymous[,...]] [auth1psk=] [auth1ca=" [certmapping:yes|no] [excludecaname:yes|no] [catype:root|intermediate (predefinição=root)] |..."] [auth1healthcert=yes|no (predefinição=no)] [auth1ecdsap256ca=" [certmapping:yes|no] [excludecaname:yes|no] [catype:root|intermediate (predefinição=root)] |..."] [auth1ecdsap256healthcert=yes|no (predefinição=no)] [auth1ecdsap384ca=" [certmapping:yes|no] [excludecaname:yes|no] [catype:root|intermediate (predefinição=root)] |..."] [auth1ecdsap384healthcert=yes|no (predefinição=no)] [auth2=computercert|computercertecdsap256|computercertecdsap384| userkerb|usercert|usercertecdsap256|usercertecdsap384|userntlm| anonymous[,...]] [auth2ca=" [certmapping:yes|no] [catype:root|intermediate (predefinição=root)] |..."] [auth2ecdsap256ca=" [certmapping:yes|no] [catype:root|intermediate (predefinição=root)] |..."] [auth2ecdsap384ca=" [certmapping:yes|no] [catype:root|intermediate (predefinição=root)] |..."] [qmpfs=dhgroup1|dhgroup2|dhgroup14|ecdhp256|ecdhp384|mainmode| none (predefinição=none)] [qmsecmethods=authnoencap:+[valuemin]+[valuekb]| ah:+esp:-+[valuemin]+[valuekb] |default] [exemptipsecprotectedconnections=yes|no (predefinição=no)] [applyauthz=yes|no (predefinição=no)] Comentários: - O nome da regra deve ser exclusivo e não pode ser "all". - Quando mode=tunnel, é necessário especificar pontos finais de túnel, excepto quando a acção é noauthentication. Quando são introduzidos endereços IP específicos, estes têm de ser da mesma versão IP. Além disso, ao configurar túneis dinâmicos: Os pontos finais de túnel podem ser definidos como any. Não é necessário especificar nenhum ponto final de túnel local para a Política de Cliente (ou seja, any). Não é necessário especificar pontos finais de túnel remotos para a Política de Gateway (ou seja, any). Além disso, a acção tem de ser requireinrequireout, requireinclearout ou noauthentication. - requireinclearout não é válido quando mode=Transport. - Tem de ser especificada pelo menos uma autenticação. - Auth1 e auth2 podem ser listas de opções separadas por vírgulas. - Os métodos computerpsk e computerntlm não podem ser especificados em conjunto para auth1. - Computercert não pode ser especificado com credenciais de utilizador para auth2. - As opções de certsigning ecdsap256 e ecdsap384 só são suportadas no Windows Vista SP1 e superior. - Qmsecmethods pode ser uma lista de propostas separadas por ",". - Para qmsecmethods, integrity=md5|sha1|sha256|aesgmac128|aesgmac192| aesgmac256|aesgcm128|aesgcm192|aesgcm256 e encryption=3des|des|aes128|aes192|aes256|aesgcm128|aesgcm192|aesgcm256. - Se for especificado aesgcm128, aesgcm192 ou aesgcm256, o mesmo tem de ser utilizado para encriptação e integridade ESP. - Aesgmac128, aesgmac192, aesgmac256, aesgcm128, aesgcm192, aesgcm256 e sha256 só são suportados no Windows Vista SP1 e superior. - Qmpfs=mainmode utiliza a definição de troca de chaves de modo principal para PFS. - A utilização de DES, MD5 e DHGroup1 não é recomendada. Estes algoritmos criptográficos são fornecidos apenas para efeitos de retro-compatibilidade. - O valor predefinido de certmapping e excludecaname é 'no'. - Os caracteres " no nome da AC têm de ser substituídos por \' - Para auth1ca e auth2ca, o nome da AC tem de ter o prefixo 'CN='. - catype pode ser utilizado para especificar o tipo de autoridade de certificação - catype=root/intermediate - authnoencap é suportado no Windows 7 e superior. - authnoencap significa que os computadores só irão utilizar autenticação e não irão utilizar nenhum algoritmo encriptação nem encapsulamento por pacote para proteger subsequentes pacotes de rede trocados como parte desta ligação. - QMPFS e authnoencap não podem ser utilizados em conjunto na mesma regra. - AuthNoEncap tem de ser acompanhado por pelo menos um conjunto de integridade AH ou ESP. - applyauthz só pode ser especificado para regras de modo de túnel. - exemptipsecprotectedconnections só pode ser especificado para regras de modo de túnel. Ao definir este sinalizador como "Yes", o tráfego ESP será isentado do túnel. O tráfego só AH NÃO será isentado do túnel. - Valuemin (quando especificado) para qmsecmethod deve situar-se entre 5-2880 minutos. Valuekb (quando especificado) para qmsecmethod deve situar-se entre 20480-2147483647 quilobytes. Exemplos: Adicionar uma regra para isolamento de domínio utilizando as predefinições: netsh advfirewall consec add rule name="isolamento" endpoint1=any endpoint2=any action=requireinrequestout Adicionar uma regra com propostas de modo rápido personalizadas: netsh advfirewall consec add rule name="personalizada" endpoint1=any endpoint2=any qmsecmethods=ah:sha1+esp:sha1-aes256+60min+20480kb,ah:sha1 action=requireinrequestout Adicionar uma regra com propostas de modo rápido personalizadas: netsh advfirewall consec add rule name="personalizada" endpoint1=any endpoint2=any qmsecmethods=authnoencap:sha1,ah:aesgmac256+esp:aesgmac256-none action=requireinrequestout Criar uma regra de modo de túnel da sub-rede A (192.168.0.0, ip externo=1.1.1.1) até à sub-rede B (192.157.0.0, ip externo=2.2.2.2): netsh advfirewall consec add rule name="o meu túnel" mode=tunnel endpoint1=192.168.0.0/16 endpoint2=192.157.0.0/16 remotetunnelendpoint=2.2.2.2 localtunnelendpoint=1.1.1.1 action=requireinrequireout Criar uma regra de modo de túnel dinâmico da sub-rede A (192.168.0.0/16) até à sub-rede B (192.157.0.0, remoteGW=2.2.2.2) Política de Cliente: netsh advfirewall consec add rule name="túnel dinâmico" mode=tunnel endpoint1=any endpoint2=192.157.0.0/16 remotetunnelendpoint=2.2.2.2 action=requireinrequireout Política de Gateway (Aplicada apenas ao dispositivo de Gateway): netsh advfirewall consec add rule name="túnel dinâmico" mode=tunnel endpoint1=192.157.0.0/16 endpoint2=any localtunnelendpoint=2.2.2.2 action=requireinrequireout Adicionar uma regra com o nome da AC: netsh advfirewall consec add rule name="regra de certificado" endpoint1=any endpoint2=any action=requireinrequestout auth1=computercert auth1ca="C=US, O=MSFT, CN=\'M