Microsoft Windows [Version 6.1.7000] (C) Copyright 2009 Microsoft Corp. C:\Windows>netsh ipsec dynamic set rule ?
Kullanim:
rule [ srcaddr = ] (ip | dns | server)
[ dstaddr = ] (ip | dns | server)
[ protocol = ] (ANY | ICMP | TCP | UDP | RAW |)
[ srcport = ][ dstport = ][ mirrored = ] (yes | no)
[ conntype = ] (lan | dialup | all)
[[ srcmask = ] (mask | prefix) ][[ dstmask = ] (mask | prefix) ][[ tunneldstaddress = ] (ip | dns) ][[ mmpolicy = ]][[ qmpolicy = ]][[ actioninbound = ] (permit | block | negotiate) ][[ actionoutbound = ] (permit | block | negotiate) ][[ kerberos = ] (yes | no) ][[ psk = ] <önceden paylasilan anahtar> ][[ rootca = ] " certmap:(yes | no) excludecaname:(yes | no)"]
SPD'de bir kurali ve iliskilendirilen filtreleri degistirir.
Parametreler:
Etiket Deger
srcaddr -Kaynak ip adresi (ipv4 veya ipv6), adres araligi, dns adi
ya da sunucu türü.
dstaddr -Hedef ip adresi (ipv4 veya ipv6), adres araligi, dns adi
ya da sunucu türü.
protocol -ANY, ICMP, TCP, UDP, RAW degeri ya da bir tamsayi.
srcport -Kaynak baglanti noktasi (0 herhangi biri demektir)
dstport -Hedef baglanti noktasi (0 herhangi biri demektir)
mirrored -'Yes' her yön için birer adet olmak üzere iki filtre
olusturur.
conntype -Baglanti türü
srcmask -Kaynak adres maskesi ya da 1-32 arasinda bir önek. srcaddr
için bir aralik belirtilirse geçerli degildir
dstmask -Hedef adres maskesi ya da 1-32 arasinda bir önek. dstaddr
için bir aralik belirtilirse geçerli degildir
tunneldstaddress -Tünel hedef ip adresi veya dns adi.
mmpolicy -Ana mod ilkesi
qmpolicy -Hizli mod ilkesi
actioninbound -Gelen paketler için eylem
actionoutbound -Giden paketler için eylem
kerberos -'yes' belirtilirse kerberos kimlik dogrulamasi saglar.
psk -Belirtilen önceden paylasilan anahtari kullanarak kimlik
dogrulamasi saglar.
rootca -Belirtilen kök sertifikayi kullanarak kimlik dogrulamasi
saglar; certmap:Yes belirtilirse, sertifikayi eslemeye
çalisir excludecaname:Yes belirtilirse, CA adi dislanir
Açiklamalar: 1. Mmpolicy, qmpolicy, actioninbound, actionoutbound
ve authmethods ayarlanabilir,diger alanlar tanimlayicidir.
2. Sunucu türü WINS, DNS, DHCP ya da GATEWAY olabilir
3. Sertifika, eslestirme ve CA adi ayarlarinin hepsi tirnak
içinde olmali; katistirilmis tirnak isaretleri '\' ile
degistirilmelidir.
4. Sertifika eslestirme yalnizca etki alani üyeleri için
geçerlidir.
5. rootca parametresini birçok kez kullanarak
birden çok sertifika saglanabilir.
6. Her kimlik dogrulama yönteminin tercihi
komuttaki sirasina göre belirlenir.
7. Kimlik dogrulama yöntemi belirtilmezse, dinamik varsayilanlar
kullanilir.
8. Belirtilen liste tüm kimlik dogrulama yöntemlerinin üzerine
yazar.
9. Kök sertifika yetkilisinin (CA) adinin dislanmasi,
adin, sertifika isteginin bir parçasi olarak gönderilmesini
engeller.
10. Adres araligi belirtildiginde bitis noktalari belirli adresler
(liste veya alt ag olamaz) ve ayni türde (ikisi de v4 veya
ikisi de v6 olmalidir) olmak zorundadir.
Örnekler: 1. set rule srca=WINS dsta=0.0.0.0 srcmask=32 dstmask=32
tunneldst=192.168.145.1
proto=tcp srcport=80 dstport=80 mir=no con=lan
qmp=qmp actionin=negotiate actionout=permit
2. set rule srcaddr=192.168.145.110 dstaddr=192.168.145.215
mmpolicy=mmp qmpolicy=qmp mirrored=no srcmask=32
rootca="C=US,O=MSFT,CN=Microsoft Authenticode(tm) Kök
Yetkilisi"
rootca="C=US,O=MSFT,CN=\'Microsoft Kuzey, Güney, Dogu ve Bati
Kök Yetkilisi\' certmap:yes excludecaname:no"
