Microsoft Windows [Version 6.1.7000] (C) Copyright 2009 Microsoft Corp. C:\Windows>netsh ipsec dynamic set rule ?
Utilização:
rule [ srcaddr = ] (ip | dns | server)
[ dstaddr = ] (ip | dns | server)
[ protocol = ] (ANY | ICMP | TCP | UDP | RAW |)
[ srcport = ][ dstport = ][ mirrored = ] (yes | no)
[ conntype = ] (lan | dialup | all)
[[ srcmask = ] (mask | prefix) ][[ dstmask = ] (mask | prefix) ][[ tunneldstaddress = ] (ip | dns) ][[ mmpolicy = ]][[ qmpolicy = ]][[ actioninbound = ] (permit | block | negotiate) ][[ actionoutbound = ] (permit | block | negotiate) ][[ kerberos = ] (yes | no) ][[ psk = ]][[ rootca = ] " certmap:(yes | no) excludecaname:(yes | no)" ]
Modifica uma regra e os filtros associados no SPD.
Parâmetros:
Tag Valor
srcaddr -Endereço IP (ipv4 ou ipv6), intervalo de endereços, nome
de DNS ou tipo de servidor de origem.
dstaddr -Endereço IP (ipv4 ou ipv6), intervalo de endereços, nome de
DNS ou tipo de servidor de destino.
protocol -Um dos seguintes: ANY, ICMP, TCP, UDP, RAW ou um número
inteiro.
srcport -Porta de origem (0 significa qualquer porta)
dstport -Porta de destino (0 significa qualquer porta)
mirrored -O valor 'Yes' cria dois filtros, um em cada direcção.
conntype -Tipo de ligação
srcmask -Máscara de endereço de origem ou um prefixo de 1 a 32. Não
aplicável se srcaddr estiver definido como um intervalo
dstmask -Máscara de endereço de destino ou um prefixo de 1 a 32. Não
aplicável se dstaddr estiver definido como um intervalo
tunneldstaddress -Nome DNS ou endereço IP de destino de túnel.
mmpolicy -Modo de política principal
qmpolicy -Modo de política rápido
actioninbound -Acção para pacotes de entrada
actionoutbound -Acção para pacotes de saída
kerberos -Fornece autenticação Kerberos se for especificado 'yes'
psk -Fornece autenticação utilizando uma chave pré-partilhada
especificada
rootca -Fornece autenticação utilizando um certificado de raiz
especificado, tenta mapear o certificado se certmap:Yes for
especificado, exclui o nome da AC se excludecaname:Yes for
especificado.
Observ.: 1. É possível definir mmpolicy, qmpolicy, actioninbound,
actionoutbound e authmethods; outros campos são identificadores.
2. O tipo de servidor pode ser WINS, DNS, DHCP ou GATEWAY
3. As definições de certificado, mapeamento e nome de AC devem estar
todas entre aspas; as aspas incluídas serão substituídas por \'.
4. O mapeamento de certificados só é válido para membros de domínio.
5. Podem ser fornecidos múltiplos certificados utilizando o parâmetro
rootca múltiplas vezes.
6. A preferência de cada método de autenticação é determinada pela
respectiva ordem no comando.
7. Se não forem indicados métodos de autenticação serão utilizadas
predefinições dinâmicas.
8. Todos os métodos de autenticação são substituídos pela lista
indicada.
9. A exclusão do nome de AC (Autoridade de Certificação) impede o
envio do nome como parte do pedido do certificado.
10. Se for especificado um intervalo de endereços, é necessários os
pontos finais serem endereços específicos (e não listas ou
sub-redes) e terem o mesmo tipo (ambos v4 ou v6).
Exemplos: 1. set rule srca=WINS dsta=0.0.0.0 srcmask=32 dstmask=32
tunneldst=192.168.145.1
proto=tcp srcport=80 dstport=80 mir=no con=lan
qmp=qmp actionin=negotiate actionout=permit
2. set rule srcaddr=192.168.145.110 dstaddr=192.168.145.215
mmpolicy=mmp qmpolicy=qmp mirrored=no srcmask=32
rootca="C=US,O=MSFT,CN=Microsoft Authenticode(tm) Root Authority"
rootca="C=US,O=MSFT,CN=\'Microsoft North, South, East, and West
Root Authority\' certmap:yes excludecaname:no"
