Microsoft Windows [Version 6.1.7000] (C) Copyright 2009 Microsoft Corp. C:\Windows>netsh advfirewall consec add rule ?
Sintassi: add rule name=
endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|||||
endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|||||
action=requireinrequestout|requestinrequestout|
requireinrequireout|requireinclearout|noauthentication
[description=][mode=transport|tunnel (impostazione predefinita=transport)][enable=yes|no (impostazione predefinita=yes)][profile=public|private|domain|any[,...] (impostazione predefinita=any)][type=dynamic|static (impostazione predefinita=static)][localtunnelendpoint=any||][remotetunnelendpoint=any||][port1=0-65535|[,...]|any (impostazione
predefinita=any)][port2=0-65535|[,...]|any (impostazione
predefinita=any)][protocol=0-255|tcp|udp|icmpv4|icmpv6|any
(impostazione predefinita=any)][interfacetype=wiresless|lan|ras|any (impostazione predefinita=any)][auth1=computerkerb|computercert|computercertecdsap256|
computercertecdsap384|computerpsk|computerntlm|anonymous[,...]][auth1psk=][auth1ca="[certmapping:yes|no][excludecaname:yes|no][catype:root|intermediate (impostazione predefinita=root)]|..."][auth1healthcert=yes|no (impostazione predefinita=no)][auth1ecdsap256ca="[certmapping:yes|no][excludecaname:yes|no][catype:root|intermediate (impostazione predefinita=root)]| ..."][auth1ecdsap256healthcert=yes|no (impostazione predefinita=no)][auth1ecdsap384ca="[certmapping:yes|no][excludecaname:yes|no][catype:root|intermediate (impostazione predefinita=root)]| ..."][auth1ecdsap384healthcert=yes|no (impostazione predefinita=no)][auth2=computercert|computercertecdsap256|computercertecdsap384|
userkerb|usercert|usercertecdsap256|usercertecdsap384|userntlm|
anonymous[,...]][auth2ca="[certmapping:yes|no][catype:root|intermediate (impostazione predefinita=root)]| ..."][auth2ecdsap256ca="[certmapping:yes|no][catype:root|intermediate (impostazione predefinita=root)]| ..."][auth2ecdsap384ca="[certmapping:yes|no][catype:root|intermediate (impostazione predefinita=root)]| ..."][qmpfs=dhgroup1|dhgroup2|dhgroup14|ecdhp256|ecdhp384|mainmode|
none (impostazione predefinita=none)][qmsecmethods=authnoencap:+[valuemin]+[valuekb]|
ah:+esp:-+[valuemin]+[valuekb]|default][exemptipsecprotectedconnections=yes|no (impostazione predefinita=no)][applyauthz=yes|no (impostazione predefinita=no)]
Note:
- Il nome della regola deve essere univoco e non può essere "all".
- Quando mode=tunnel, gli endpoint del tunnel devono essere specificati,
a meno che action non sia noauthentication.
Quando vengono immessi indirizzi IP specifici, questi devono
utilizzare la stessa versione IP.
Quando inoltre si configurano tunnel dinamici, è possibile
impostare gli endpoint del tunnel su any. Non è necessario
specificare l'endpoint tunnel per i criteri del client (ovvero, any).
Non è necessario specificare gli endpoint tunnel remoto per
i criteri del gateway (ovvero, any).
action deve inoltre essere requireinrequireout, requireinclearout o
noauthentication.
- requireinclearout non è valido quando mode=Transport.
- È necessario specificare almeno un'autenticazione.
- Auth1 e auth2 possono essere elenchi di opzioni separate da virgole.
- I metodi computerpsk e computerntlm non possono essere specificati
insieme per auth1.
- Computercert non può essere specificato con credenziali utente
per auth2.
- Le opzioni di firma certificato ecdsap256 e ecdsap384 sono supportate
solo in Windows Vista SP1 e versioni successive.
- Qmsecmethods può essere un elenco di proposte separate da ",".
- Per qmsecmethods, integrità=md5|sha1|sha256|aesgmac128|aesgmac192|
aesgmac256|aesgcm128|aesgcm192|aesgcm256 e crittografia=3des|des|
aes128|aes192|aes256|aesgcm128|aesgcm192|aesgcm256.
- Se si specifica aesgcm128, aesgcm192 o aesgcm256, questo dovrà essere
utilizzato sia per l'integrità che per la crittografia ESP.
- Aesgmac128, aesgmac192, aesgmac256, aesgcm128, aesgcm192, aesgcm256 e
sha256 sono supportati solo in Windows Vista SP1 e versioni
successive.
- Qmpfs=mainmode utilizza l'impostazione di scambio di chiavi della
modalità principale per PFS.
- L'utilizzo di DES, MD5 e DHGroup1 non è consigliato. Questi
algoritmi di crittografia vengono forniti solo per compatibilità
con le versioni precedenti.
- Il valore predefinito per certmapping ed excludecaname è 'no'.
- I caratteri " all'interno di un nome CA devono essere sostituiti
con \'
- Per auth1ca e auth2ca, il nome CA deve essere preceduto da 'CN='.
- È possibile utilizzare catype per specificare il tipo di Autorità di
certificazione (catype=root/intermediate)
- authnoencap è supportato in Windows 7 e versioni successive.
- authnoencap indica che i computer utilizzeranno solo l'autenticazione
e non utilizzeranno alcun algoritmo di incapsulamento o crittografia
pacchetti per proteggere i pacchetti di rete successivamente
scambiati nell'ambito di questa connessione.
- Non è possibile utilizzare contemporaneamente QMPFS e authnoencap
nella stessa regola.
- AuthNoEncap deve essere accompagnato da almeno una suite di integrità
AH o ESP.
- applyauthz può essere specificato solo per regole in modalità tunnel.
- exemptipsecprotectedconnections può essere specificato solo per regole
in modalità tunnel. Se si imposta questo contrassegno su "Yes",
il traffico ESP verrà escluso dal tunnel.
Solo il traffico AH NON verrà escluso dal tunnel.
- Valuemin (quando specificato) per un qmsecmethod deve essere compreso
tra 5 e 2880 minuti. Valuekb (quando specificato) per un qmsecmethod
deve essere compreso tra 20480 e 2147483647 kilobyte.
Esempi:
Il comando seguente aggiunge una regola per l'isolamento
del dominio utilizzando i valori predefiniti:
netsh advfirewall consec add rule name="isolation"
endpoint1=any endpoint2=any action=requireinrequestout
Il comando seguente aggiunge una regola con le proposte
personalizzate per la modalità rapida:
netsh advfirewall consec add rule name="custom"
endpoint1=any endpoint2=any
qmsecmethods=ah:sha1+esp:sha1-aes256+60min+20480kb,ah:sha1
action=requireinrequestout
Il comando seguente aggiunge una regola con le proposte
personalizzate per la modalità rapida:
netsh advfirewall consec add rule name="custom"
endpoint1=any endpoint2=any
qmsecmethods=authnoencap:sha1,ah:aesgmac256+esp:aesgmac256-none
action=requireinrequestout
Il comando seguente crea una regola per la modalità tunnel
dalla subnet A (192.168.0.0, indirizzo IP esterno=1.1.1.1)
alla subnet B (192.157.0.0, indirizzo IP esterno=2.2.2.2):
netsh advfirewall consec add rule name="my tunnel" mode=tunnel
endpoint1=192.168.0.0/16 endpoint2=192.157.0.0/16
remotetunnelendpoint=2.2.2.2
localtunnelendpoint=1.1.1.1 action=requireinrequireout
Il comando seguente crea una regola per la modalità tunnel dinamico
dalla subnet A (192.168.0.0/16)
alla subnet B (192.157.0.0, remoteGW=2.2.2.2)
Criteri client:
netsh advfirewall consec add rule name="dynamic tunnel"
mode=tunnel
endp
