Microsoft Windows [Version 6.1.7000] (C) Copyright 2009 Microsoft Corp. C:\Windows>netsh ipsec dynamic add rule ?
Kullanim:
rule [ srcaddr = ] (ipv4 | ipv6 | ipv4-ipv4 | ipv6-ipv6 | dns | server)
[ dstaddr = ] (ipv4 | ipv6 | ipv4-ipv4 | ipv6-ipv6 | dns | server)
[ mmpolicy = ][[ qmpolicy = ]][[ protocol = ] (ANY | ICMP | TCP | UDP | RAW |) ][[ srcport = ]][[ dstport = ]][[ mirrored = ] (yes | no) ][[ conntype = ] (lan | dialup | all) ][[ actioninbound = ] (permit | block | negotiate) ][[ actionoutbound = ] (permit | block | negotiate) ][[ srcmask = ] (mask | prefix) ][[ dstmask = ] (mask | prefix) ][[ tunneldstaddress = ] (ip | dns) ][[ kerberos = ] (yes | no) ][[ psk = ] <önceden paylasilan anahtar> ][[ rootca = ] " certmap:(yes | no) excludecaname:(yes | no)" ]
Kural ekler.
Parametreler:
Etiket Deger
srcaddr -Kaynak ip adresi (ipv4 veya ipv6), adres araligi, dns adi
veya sunucu türü.
dstaddr -Hedef ip adresi (ipv4 veya ipv6), adres araligi, dns adi
veya sunucu türü.
mmpolicy -Ana mod ilkesi
qmpolicy -Hizli mod ilkesi
protocol -ANY, ICMP, TCP, UDP, RAW veya bir tamsayi olabilir. Baglanti
noktasi belirtirseniz TCP veya UDP degeri kabul edilir.
srcport -Kaynak baglanti noktasi (0, herhangi bir baglanti noktasi
anlamina gelir)
dstport -Hedef baglanti noktasi (0, herhangi bir baglanti noktasi
anlamina gelir)
mirrored -'Yes' her yön için birer adet olmak üzere iki filtre
olusturur.
conntype -Baglanti türü
actioninbound -Gelen paketlere uygulanacak eylem
actionoutbound -Giden paketlere uygulanacak eylem
srcmask -Kaynak adres maskesi veya 1 ile 32 arasinda bir önek.
srcaddr için bir aralik belirtilirse geçerli degildir
dstmask -Hedef adres maskesi veya 1 ile 32 arasinda bir önek.
Dstaddr için bir aralik belirtilirse geçerli degildir
tunneldstaddress -Tünel hedef ip adresi veya dns adi.
kerberos -'yes' belirtildiginde Kerberos kimlik dogrulamasi saglar.
psk -Belirtilen önceden paylasilan anahtari kullanarak kimlik
dogrulamasi saglar.
rootca -Belirtilen kök sertifikayi kullanarak kimlik dogrulamasi
saglar, certmap:Yes ise sertifikayi eslemeyi dener,
excludecaname:Yes ise CA adini disarida tutar.
Açiklamalar: 1. TCP ve UDP için geçerli baglanti noktasi.
2. Sunucu türü WINS, DNS, DHCP veya GATEWAY olabilir.
3. actioninbound ve actionoutbound varsayilan degeri: 'negotiate'
4. Tünel kurallari için, mirrored 'no' olarak ayarlanmalidir.
5. Sertifika, esleme ve CA adi ayarlarinin tümü tirnak içinde
olmalidir; katistirilmis tirnaklar \' ile degistirilmelidir.
6. Sertifika eslemesi yalnizca etki alani üyeleri için geçerlidir.
7. rootca parametresi birden çok kullanilarak birden fazla
sertifika saglanabilir.
8. Kimlik dogrulamasi yöntemi tercihi, yöntemin komuttaki sirasina
göre belirlenir.
9. Hiçbir kimlik dogrulama yöntemi belirtilmezse, dinamik
varsayilanlar kullanilir.
10. Kök sertifika yetkilisi (CA) adini disarida tutmak, adin
sertifika isteginin bir parçasi olarak gönderilmesini engeller
11. Adres araligi belirtildiginde bitis noktalari belirli adresler
(liste veya alt ag olamaz) ve ayni türde (ikisi de v4 veya
ikisi de v6 olmalidir) olmak zorundadir.
Örnek: add rule srcaddr=192.168.145.110 dstaddr=192.168.145.215 mmpolicy=mmp
qmpolicy=qmp mirrored=no srcmask=32 dstmask=255.255.255.255
rootca="C=US,O=MSFT,CN=Microsoft Authenticode(tm) Kök Yetkilisi"
rootca="C=US,O=MSFT,CN=\'Microsoft Kuzey, Güney, Dogu ve Bati Kök
Yetkilisi\' certmap:yes excludecaname:no"
