netsh » advfirewall » consec » add » rule

Microsoft Windows [Version 6.1.7000]
(C) Copyright 2009 Microsoft Corp.
C:\Windows>netsh advfirewall consec add rule ? Uso: add rule name= endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway| |||| endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway| |||| action=requireinrequestout|requestinrequestout| requireinrequireout|requireinclearout|noauthentication [description=] [mode=transport|tunnel (padrão=transport)] [enable=yes|no (padrão=yes)] [profile=public|private|domain|any[,...] (padrão=any)] [type=dynamic|static (padrão=static)] [localtunnelendpoint=any||] [remotetunnelendpoint=any||] [port1=0-65535|[,...]|any (padrão=any)] [port2=0-65535|[,...]|any (padrão=any)] [protocol=0-255|tcp|udp|icmpv4|icmpv6|any (padrão=any)] [interfacetype=wiresless|lan|ras|any (padrão=any)] [auth1=computerkerb|computercert|computercertecdsap256| computercertecdsap384|computerpsk|computerntlm|anonymous[,...]] [auth1psk=] [auth1ca=" [certmapping:yes|no] [excludecaname:yes|no] [catype:root|intermediate (padrão=root)] |..."] [auth1healthcert=yes|no (padrão=no)] [auth1ecdsap256ca=" [certmapping:yes|no] [excludecaname:yes|no] [catype:root|intermediate (default=root)] | ..."] [auth1ecdsap256healthcert=yes|no (default=no)] [auth1ecdsap384ca=" [certmapping:yes|no] [excludecaname:yes|no] [catype:root|intermediate (padrão=root)] | ..."] [auth1ecdsap384healthcert=yes|no (padrão=no)] [auth2=computercert|computercertecdsap256|computercertecdsap384| userkerb|usercert|usercertecdsap256|usercertecdsap384|userntlm| anonymous[,...]] [auth2ca=" [certmapping:yes|no] [catype:root|intermediate (padrão=root)] | ..."] [auth2ecdsap256ca=" [certmapping:yes|no] [catype:root|intermediate (padrão=root)] | ..."] [auth2ecdsap384ca=" [certmapping:yes|no] [catype:root|intermediate (padrão=root)] | ..."] [qmpfs=dhgroup1|dhgroup2|dhgroup14|ecdhp256|ecdhp384|mainmode| none (padrão=none)] [qmsecmethods=authnoencap:+[valuemin]+[valuekb]| ah:+esp:-+[valuemin]+[valuekb] |default] [exemptipsecprotectedconnections=yes|no (padrão=no)] [applyauthz=yes|no (padrão=no)] Comentários: - O nome da regra deve ser exclusivo e não pode ser "all". - Quando mode=tunnel,pontos de extremidade de túnel deverão ser especificados, exceto quando a ação for noauthentication. Quando endereços IP específicos forem digitados, eles devem ser da mesma versão de IP. Além disso, ao configurar túneis dinâmicos: Pontos de extremidade de túnel podem ser definidos como any. O ponto de extremidade de túnel local não precisa ser especificado para Diretiva de cliente (isto é, any). Pontos de extremidade de túnel remotos não precisam ser especificados para Diretiva de Gateway (isto é, any). Além disso, a ação deve ser requireinrequireout, requireinclearout, ou noauthentication. - requireinclearout não é válido quando mode=Transport. - Pelo menos uma autenticação deve ser especificada. - Auth1 e auth2 podem ser listas de opções separadas por vírgulas. - Os métodos computerpsk e computerntlm não podem ser especificados juntos para auth1. - Computercert não pode ser especificado com credenciais de usuário para auth2. - As opções ecdsap256 e ecdsap384 do Certsigning só são compatíveis com o Windows Vista SP1 e posterior. - Qmsecmethods pode ser uma lista de propostas separadas por ",". - Para qmsecmethods, integrity=md5|sha1|sha256|aesgmac128|aesgmac192| aesgmac256|aesgcm128|aesgcm192|aesgcm256 e encryption=3des|des|aes128|aes192|aes256|aesgcm128|aesgcm192 |aesgcm256. - Se aesgcm128, aesgcm192 ou aesgcm256 forem especificados, eles deverão ser usados para criptografia e integridade de ESP. - Aesgmac128, aesgmac192, aesgmac256, aesgcm128, aesgcm192, aesgcm256, sha256 só são compatíveis com o Windows Vista SP1 e posterior. - Qmpfs=mainmode usa a configuração de troca de chave do modo principal referente a PFS. - O uso de DES, MD5 e DHGroup1 não é recomendado. Esses algoritmos criptográficos são fornecidos somente por questões de compatibilidade com versões anteriores. - O valor padrão de certmapping e excludecaname é 'no'. - Os caracteres " no nome da CA devem ser substituídos por \' - Para auth1ca e auth2ca, o nome da CA deve ter o prefixo 'CN='. - catype pode ser usado para especificar o tipo de Autoridade de certificação - catype=root/intermediate - authnoencap é compatível com o Windows 7 e posterior. - authnoencap significa que os computadores usarão apenas autenticação e não usarão algoritmos de túnel e criptografia por pacote para proteger pacotes de rede subsequentes trocados como parte desta conexão. - QMPFS e authnoencap não podem ser usados juntos na mesma regra. - AuthNoEncap deve estar acompanhado de pelo menos um pacote de integridade AH ou ESP. - applyauthz só pode ser especificado para regras do modo de túnel. - exemptipsecprotectedconnections só pode ser especificado para regras do modo de túnel. Se este sinalizador for definido como "Yes", o tráfego de ESP será isento do túnel. O tráfego somente AH NÃO será isento do túnel. - O Valuemin (quando especificado) de um qmsecmethod deve estar entre 5 e 2880 minutos. O Valuekb (quando especificado) de um qmsecmethod deve estar entre 20480 e 2147483647 quilobytes. Exemplos: Adicionar uma regra para isolação de domínio usando padrões: netsh advfirewall consec add rule name="isolation" endpoint1=any endpoint2=any action=requireinrequestout Adicionar uma regra com propostas de modo rápido personalizadas: netsh advfirewall consec add rule name="custom" endpoint1=any endpoint2=any qmsecmethods=ah:sha1+esp:sha1-aes256+60min+20480kb,ah:sha1 action=requireinrequestout Adicionar uma regra com propostas de modo rápido personalizadas: netsh advfirewall consec add rule name="custom" endpoint1=any endpoint2=any qmsecmethods=authnoencap:sha1,ah:aesgmac256+esp:aesgmac256-none action=requireinrequestout Criar uma regra de modo de túnel da sub-rede A (192.168.0.0, external ip=1.1.1.1) para a sub-rede B (192.157.0.0, external ip=2.2.2.2): netsh advfirewall consec add rule name="my tunnel" mode=tunnel endpoint1=192.168.0.0/16 endpoint2=192.157.0.0/16 remotetunnelendpoint=2.2.2.2 localtunnelendpoint=1.1.1.1 action=requireinrequireout Criar uma regra de modo de túnel dinâmico da sub-rede A (192.168.0.0/16) para a sub-rede B (192.157.0.0, remoteGW=2.2.2.2) Diretiva Cliente: netsh advfirewall consec add rule name="dynamic tunnel" mode=tunnel endpoint1=any endpoint2=192.157.0.0/16 remotetunnelendpoint=2.2.2.2 action=requireinrequireout Diretiva do Gateway (Aplicada apenas aos dispositivos do Gateway): netsh advfirewall consec add rule name="dynamic tunnel" mode=tunnel endpoint1=192.157.0.0/16 endpoint2=any localtunnelendpoint=2.2.2.2 action=requireinrequireout Adicionar uma regra com o nome da CA: netsh advfirewall consec add rule name="cert rule" endpoint1=any endpoint2=any action=requireinrequestout auth1=computercert auth1ca="C=US, O=MSFT, CN=\'Microsoft North, South, East, and West Root Authority\'"