Microsoft Windows [Version 6.1.7000] (C) Copyright 2009 Microsoft Corp. C:\Windows>netsh ipsec dynamic set rule ?
Uso:
rule [ srcaddr = ] (ip | dns | server)
[ dstaddr = ] (ip | dns | server)
[ protocol = ] (ANY | ICMP | TCP | UDP | RAW |)
[ srcport = ][ dstport = ][ mirrored = ] (yes | no)
[ conntype = ] (lan | dialup | all)
[[ srcmask = ] (mask | prefix) ][[ dstmask = ] (mask | prefix) ][[ tunneldstaddress = ] (ip | dns) ][[ mmpolicy = ]][[ qmpolicy = ]][[ actioninbound = ] (permit | block | negotiate) ][[ actionoutbound = ] (permit | block | negotiate) ][[ kerberos = ] (yes | no) ][[ psk = ]][[ rootca = ] " certmap:(yes | no) excludecaname:(yes |
no)" ]
Modifica una regla y los filtros asociados en SPD.
Parámetros:
Etiqueta Valor
srcaddr -Dirección IP (ipv4 o ipv6), intervalo de
direcciones, nombre DNS o tipo de servidor de origen.
dstaddr -Dirección IP (ipv4 o ipv6), intervalo de
direcciones, nombre DNS o tipo de servidor de destino.
protocol -Puede ser ANY, ICMP, TCP, UDP, RAW o un entero.
srcport -Puerto de origen (0 significa cualquier puerto)
dstport -Puerto de destino (0 significa cualquier puerto)
mirrored -"Yes" crea dos filtros, uno en cada dirección.
conntype -Tipo de conexión
srcmask -Máscara de dirección o un prefijo de origen de 1 a 32.
No aplica si srcaddr se establece como un intervalo
dstmask -Máscara de dirección o un prefijo de destino de 1 a 32.
No aplica si dstaddr se establece como un intervalo
tunneldstaddress -Tipo de dirección IP o nombre DNS de destino de túnel.
mmpolicy -Directiva de modo principal
qmpolicy -Directiva de modo rápido
actioninbound -Acción para paquetes de entrada
actionoutbound -Acción para paquetes de salida
kerberos -Proporciona autenticación kerberos si se especifica "yes".
psk -Proporciona autenticación mediante una clave previamente
compartida especificada
rootca -Proporciona autenticación mediante un certificado raíz
especificado, intentará asignar el certificado si se
especifica ertmap:Yes y excluirá el nombre de entidad
emisora si se especifica excludecaname:Yes.
Notas: 1. Mmpolicy, qmpolicy, actioninbound, actionoutbound y authmethods
se pueden establecer; el resto de los campos son identificadores.
2. El tipo de los servidores puede ser WINS, DNS, DHCP o GATEWAY
Para establecer el nombre de qmpolicy, especifique de
inbound/outbound=negotiate.
3. Las configuraciones de los nombres de certificado, asignación y
entidad de certificación tienen que estar entre comillas, las comillas
incrustadas deben sustituirse por \'.
4. La asignación de certificados sólo es válida para miembros del
dominio.
5. Se pueden proporcionar varios certificados si se usa el parámetro
rootca varias veces.
6. La preferencia de cada método de autenticación se determina por
su orden en el comando.
7. Si no se especifican métodos de autenticación, se usan los
valores predeterminados dinámicos.
8. Todos los métodos de autenticación se sobrescriben con la lista
especificada.
9. Si se excluye el nombre de la entidad de certificación
(CA) raíz, se evita que se envíe el nombre como parte de la
solicitud de certificado.
10. Si se especifica algún intervalo de direcciones, los extremos
deben ser direcciones específicas (no listas ni subredes) del
mismo tipo (ya sea ambos v4 o v6).
Ejemplos: 1. set rule srca=WINS dsta=0.0.0.0 srcmask=32 dstmask=32
tunneldst=192.168.145.1
proto=tcp srcport=80 dstport=80 mir=no con=lan
qmp=qmp actionin=negotiate actionout=permit
2. set rule srcaddr=192.168.145.110 dstaddr=192.168.145.215
mmpolicy=mmp qmpolicy=qmp mirrored=no srcmask=32
rootca="C=US,O=MSFT,CN=Microsoft Authenticode(tm) Root Authority"
rootca="C=US,O=MSFT,CN=\"Microsoft North, South, East, and West
Root Authority\' certmap:yes excludecaname:no"
