Microsoft Windows [Version 6.1.7000] (C) Copyright 2009 Microsoft Corp. C:\Windows>netsh advfirewall consec add rule ?
Szintaxis: add rule name=
endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|||||
endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|||||
action=requireinrequestout|requestinrequestout|
requireinrequireout|requireinclearout|noauthentication
[description=][mode=transport|tunnel (alapértelmezés: transport)][enable=yes|no (alapértelmezés: yes)][profile=public|private|domain|any[,...] (alapértelmezés: any)][type=dynamic|static (alapértelmezés: static)][localtunnelendpoint=any||][remotetunnelendpoint=any||][port1=0-65535|[,...]|any (alapértelmezés: any)][port2=0-65535|[,...]|any (alapértelmezés: any)][protocol=0-255|tcp|udp|icmpv4|icmpv6|any (alapértelmezés: any)][interfacetype=wiresless|lan|ras|any (alapértelmezés: any)][auth1=computerkerb|computercert|computercertecdsap256|
computercertecdsap384|computerpsk|computerntlm|anonymous[,...]][auth1psk=][auth1ca="[certmapping:yes|no][excludecaname:yes|no][catype:root|intermediate (alapértelmezés: root)]|..."][auth1healthcert=yes|no (alapértelmezés: no)][auth1ecdsap256ca="[certmapping:yes|no][excludecaname:yes|no][catype:root|intermediate (alapértelmezés: root)]| ..."][auth1ecdsap256healthcert=yes|no (alapértelmezés: no)][auth1ecdsap384ca="[certmapping:yes|no][excludecaname:yes|no][catype:root|intermediate (alapértelmezés: root)]| ..."][auth1ecdsap384healthcert=yes|no (alapértelmezés: no)][auth2=computercert|computercertecdsap256|computercertecdsap384|
userkerb|usercert|usercertecdsap256|usercertecdsap384|userntlm|
anonymous[,...]][auth2ca="[certmapping:yes|no][catype:root|intermediate (alapértelmezés: root)]| ..."][auth2ecdsap256ca="[certmapping:yes|no][catype:root|intermediate (alapértelmezés: root)]| ..."][auth2ecdsap384ca="[certmapping:yes|no][catype:root|intermediate (alapértelmezés: root)]| ..."][qmpfs=dhgroup1|dhgroup2|dhgroup14|ecdhp256|ecdhp384|mainmode|
none (alapértelmezés: none)][qmsecmethods=authnoencap:+[valuemin]+[valuekb]|
ah:+esp:-
+[valuemin]+[valuekb]|default][exemptipsecprotectedconnections=yes|no (alapértelmezés: no)][applyauthz=yes|no (alapértelmezés: no)]
Megjegyzések:
- A szabály nevének egyedinek kell lennie, és nem lehet "all".
- Ha a mode paraméter értéke tunnel, meg kell adni az alagútvégpontokat,
kivéve akkor, ha a muvelet noauthentication.
Adott IP-címek megadásakor azok IP-verziójának meg kell egyeznie.
Dinamikus alagutak konfigurálásakor továbbá:
Az alagútvégpontok beállíthatók any értékre. A helyi alagútvégpontot
nem kell megadni az ügyfélházirendhez (any).
A távoli alagútvégpontokat nem kell megadni az átjáró házirendjéhez
(any).
A muvelet továbbá a következok egyike lehet: requireinrequireout,
requireinclearout vagy noauthentication.
- A requireinclearout muvelet érvénytelen, ha a mode paraméter
Transport értéku.
- Legalább egy hitelesítést meg kell adni.
- Az auth1 és az auth2 összetevo a beállítások vesszovel elválasztott
listája lehet.
- A computercert elem nem adható meg az auth2 felhasználói hitelesíto
adataival.
- Az ecdsap256 és az ecdsap384 tanúsítvány-aláírási beállítás csak
Windows Vista SP1 és újabb rendszereken támogatott.
- A qmsecmethods paraméter vesszovel tagolt ajánlatlista
lehet.
- A qmsecmethods paraméter esetében integrity=md5|sha1|sha256|aesgmac128|
aesgmac192|aesgmac256|aesgcm128|aesgcm192|aesgcm256 és encryption=
3des|des|aes128|aes192|aes256|aesgcm128|aesgcm192|aesgcm256.
- Ha meg van adva az aesgcm128, az aesgcm192 vagy az aesgcm256 érték,
akkor az ESP-sértetlenséghez és -titkosításhoz egyaránt használni kell.
- Az aesgmac128, az aesgmac192, az aesgmac256, az aesgcm128, az
aesgcm192, az aesgcm256 és az sha256 érték csak Windows Vista SP1 és
újabb rendszereken támogatott.
- Ha a qmpfs paraméter mainmode értéku, a PFS az alapmódú kulcscsere-
beállításokat használja.
- A DES, az MD5 és a DHGroup1 algoritmus használata nem ajánlott. Ezek a
titkosítási algoritmusok csak a korábbi rendszerekkel való
kompatibilitást szolgálják.
- A certmapping és az excludecaname paraméter alapértelmezett értéke "no".
- A hitelesítésszolgáltató nevében szereplo " karaktereket a \'
karakterekre kell cserélni.
- Az auth1ca és az auth2ca paraméter esetében a hitelesítésszolgáltató
neve elott a "CN=" elotagnak kell állnia.
- A catype elem a hitelesítésszolgáltató típusának megadására
használható. -catype=root/intermediate
- Az authnoencap paraméter a Windows 7 és az újabb rendszereken
támogatott.
- Az authnoencap paraméter azt jelenti, hogy a számítógépek csak
hitelesítést fognak alkalmazni, és nem fognak használni csomagonkénti
beágyazási vagy titkosítási algoritmusokat a kapcsolat részeként
cserélt további hálózati csomagok védelme érdekében.
- A QMPFS és az authnoencap paraméter nem használható együtt ugyanazon a
szabályon.
- Az authNoEncap paramétert legalább egy AH vagy ESP típusú
sértetlenségi készletnek kell követnie.
- Az applyauthz paraméter csak az alagútmód szabályaihoz adható meg.
- Az exemptipsecprotectedconnections paraméter csak az alagútmód
szabályaihoz adható meg. Ha ezt a jelzot "Yes" értékre állítja,
az ESP-forgalom ki lesz zárva az alagútból.
A csak AH típusú forgalom NEM lesz kizárva az alagútból.
- A qmsecmethod paraméterhez tartozó valuemin elem (ha meg van adva)
értéke 5-2880 perc lehet. A qmsecmethod paraméterhez tartozó valuekb
elem (ha meg van adva) értéke 20480-2147483647 kilobájt lehet.
Példák:
Tartományizolációs szabály hozzáadása az alapértelmezésekkel:
netsh advfirewall consec add rule name="izoláció"
endpoint1=any endpoint2=any action=requireinrequestout
Egyéni gyorsmódú ajánlatokat tartalmazó szabály hozzáadása:
netsh advfirewall consec add rule name="egyedi"
endpoint1=any endpoint2=any
qmsecmethods=ah:sha1+esp:sha1-aes256+60min+20480kb,ah:sha1
action=requireinrequestout
Egyéni gyorsmódú ajánlatokat tartalmazó szabály hozzáadása:
netsh advfirewall consec add rule name="egyedi"
endpoint1=any endpoint2=any
qmsecmethods=authnoencap:sha1,ah:aesgmac256+esp:aesgmac256-none
action=requireinrequestout
Alagútmódú szabály létrehozása az A alhálózattól (192.168.0.0,
külso IP-cím: 1.1.1.1) a B alhálózathoz (192.157.0.0,
külso IP-cím: 2.2.2.2):
netsh advfirewall consec add rule name="alagút" mode=tunnel
endpoint1=192.168.0.0/16 endpoint2=192.157.0.0/16
remotetunnelendpoint=2.2.2.2
localtunnelendpoint=1.1.1.1 action=requireinrequireout
Dinamikus alagútmódú szabály létrehozása az A alhálózattól
(192.168.0.0/16) a B alhálózathoz (192.157.0.0, remoteGW=2.2.2.2):
Ügyfélházirend:
netsh advfirewall consec add rule name="dinamikus alagút"
mode=tunnel
endpoint1=any endpoint2=192.157.0.0/16
remotetunnelendpoint=2.2.2.2
action=requireinrequireout
Átjáróházirend (csak az átjáróeszközre alkalmazva):
netsh advfirewall consec add rule name="dinamikus alagút"
mode=tunnel endpoint1=192.157.0.0/16
endpoint2=any localtunnelendpoint=2.2.2.2
