Microsoft Windows [Version 6.1.7000] (C) Copyright 2009 Microsoft Corp. C:\Windows>netsh advfirewall consec add rule ?
Kullanim: add rule name=
endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|||||
endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|||||
action=requireinrequestout|requestinrequestout|
requireinrequireout|requireinclearout|noauthentication
[description=][mode=transport|tunnel (default=transport)][enable=yes|no (default=yes)][profile=public|private|domain|any[,...] (default=any)][type=dynamic|static (default=static)][localtunnelendpoint=any||][remotetunnelendpoint=any||][port1=0-65535|[,...]|any (default=any)][port2=0-65535|[,...]|any (default=any)][protocol=0-255|tcp|udp|icmpv4|icmpv6|any (default=any)][interfacetype=wiresless|lan|ras|any (default=any)][auth1=computerkerb|computercert|computercertecdsap256|
computercertecdsap384|computerpsk|computerntlm|anonymous[,...]][auth1psk=][auth1ca="[certmapping:yes|no][excludecaname:yes|no][catype:root|intermediate (default=root)]|..."][auth1healthcert=yes|no (default=no)][auth1ecdsap256ca="[certmapping:yes|no][excludecaname:yes|no][catype:root|intermediate (default=root)]| ..."][auth1ecdsap256healthcert=yes|no (default=no)][auth1ecdsap384ca="[certmapping:yes|no][excludecaname:yes|no][catype:root|intermediate (default=root)]| ..."][auth1ecdsap384healthcert=yes|no (default=no)][auth2=computercert|computercertecdsap256|computercertecdsap384|
userkerb|usercert|usercertecdsap256|usercertecdsap384|userntlm|
anonymous[,...]][auth2ca="[certmapping:yes|no][catype:root|intermediate (default=root)]| ..."][auth2ecdsap256ca="[certmapping:yes|no][catype:root|intermediate (default=root)]| ..."][auth2ecdsap384ca="[certmapping:yes|no][catype:root|intermediate (default=root)]| ..."][qmpfs=dhgroup1|dhgroup2|dhgroup14|ecdhp256|ecdhp384|mainmode|
none (default=none)][qmsecmethods=authnoencap:+[valuemin]+[valuekb]|
ah:+esp:-+[valuemin]+[valuekb]|default][exemptipsecprotectedconnections=yes|no (default=no)][applyauthz=yes|no (default=no)]
Açiklamalar:
- Kural adi benzersiz olmalidir ve "all" olamaz.
- mode=tunnel oldugunda, eylem noauthentication
olmadigi sürece tünel bitis noktalari belirtilmelidir.
Belirli IP adresleri girildiginde bunlar ayni IP sürümü olmalidir.
Ek olarak, dinamik tünelleri yapilandirirken:
Tünel bitis noktalari any degerine ayarlanabilir.
Yerel tünel bitis noktasinin Istemci Ilkesi için belirtilmesi
gerekir (yani, herhangi biri).
Uzaktaki tünel bitis noktalarinin ise Ag Geçidi Ilkesi için
belirtilmesi gerekmez (yani, herhangi biri).
Ayrica eylem requireinrequireout, requireinclearout
veya noauthentication olmalidir.
- mode=Transport oldugunda requireinclearout geçerli degildir.
- En azindan bir kimlik dogrulamasi belirtilmelidir.
- Auth1 ve Auth2 virgülle ayrilmis seçenekler listesi olabilir.
- Computerpsk ve computerntlm yöntemleri Auth1 için birlikte
belirtilemez.
- Computercert, Auth2 için kullanici bilgileriyle birlikte belirtilemez.
- Sertifika imzalama seçenekleri olan ecdsap256 ve ecdsap384
yalnizca Windows Vista SP1 ve sonraki sürümler için desteklenir.
- Qmsecmethods, "," ile ayrilmis öneriler listesi olabilir.
- qmsecmethods için: integrity=md5|sha1|sha256|aesgmac128|aesgmac192|
aesgmac256|aesgcm128|aesgcm192|aesgcm256 ve encryption=3des|des
|aes128|aes192|aes256|aesgcm128|aesgcm192|aesgcm256.
- aesgcm128, aesgcm192 veya aesgcm256 belirtilirse, hem ESP bütünlügü
hem de sifrelemesi için kullanilmalidir.
- Aesgmac128, aesgmac192, aesgmac256, aesgcm128, aesgcm192, aesgcm256,
sha256 yalnizca Windows Vista SP1 ve sonraki sürümlerde desteklenir.
- Qmpfs=mainmode, PFS'ye ait ana mod kilit degisim ayarlarini kullanir.
- DES, MD5 ve DHGroup1 kullanimi önerilmez. Bu sifreleme
algoritmalari yalnizca geriye dönük uyumluluk için saglanmistir.
- certmapping ve excludecaname için varsayilan deger 'no'dur.
- CA adindaki " karakterlerinin yerine \' yazilmalidir
- auth1ca ve auth2ca için CA adinin önüne 'CN=' eki getirilmelidir.
- catype, sertifika yetkilisinin türünü belirtmek için kullanilabilir -
catype=root/intermediate
- authnoencap, Windows 7 ve sonraki sürümlerde desteklenir.
- authnoencap, bilgisayarlarin yalnizca kimlik dogrulamayi
kullanacagi ve bu baglantinin bir parçasi olarak alinip verilen
sonraki ag paketlerini korumak için paket basina kapsülleme
veya sifreleme algoritmalarini kullanmayacagi anlamina gelir.
- QMPFS ve authnoencap ayni kuralda birlikte kullanilamaz.
- AuthNoEncap ile birlikte en azindan bir AH veya ESP bütünlük paketi
kullanilmalidir.
- applyauthz yalnizca tünel modu kurallari için belirtilebilir.
- exemptipsecprotectedconnections yalnizca tünel modu kurallari için
belirtilebilir. Bu isaretin "Yes" olarak ayarlanmasiyla
ESP trafigi, tünelden muaf tutulacaktir.
Salt AH trafigi, tünelden muaf TUTULMAZ.
- Qmsecmethod için valuemin'in (belirtildiginde) 5-2880 dakika arasinda
olmasi gerekir. Qmsecmethod için valuekb(belirtildiginde) ise
20480-2147483647 kilobayt arasinda olmalidir.
Örnekler:
Varsayilanlari kullanarak etki alani yalitimi için bir kural ekle:
netsh advfirewall consec add rule name="isolation"
endpoint1=any endpoint2=any action=requireinrequestout
Özel hizli mod önerileri içeren bir kural ekle:
netsh advfirewall consec add rule name="custom"
endpoint1=any endpoint2=any
qmsecmethods=ah:sha1+esp:sha1-aes256+60min+20480kb,ah:sha1
action=requireinrequestout
Özel hizli mod önerileri içeren bir kural ekle:
netsh advfirewall consec add rule name="custom"
endpoint1=any endpoint2=any
qmsecmethods=authnoencap:sha1,ah:aesgmac256+esp:aesgmac256-none
action=requireinrequestout
Alt ag A (192.168.0.0, external ip=1.1.1.1)
ile alt ag B (192.157.0.0, external ip=2.2.2.2)
arasinda bir tünel modu kurali olusturun:
netsh advfirewall consec add rule name="my tunnel" mode=tunnel
endpoint1=192.168.0.0/16 endpoint2=192.157.0.0/16
remotetunnelendpoint=2.2.2.2
localtunnelendpoint=1.1.1.1 action=requireinrequireout
Alt ag A (192.168.0.0/16)ile alt ag B (192.157.0.0, remoteGW=2.2.2.2)
arasinda bir dinamik tünel modu
kurali olusturun
Istemci Ilkesi:
netsh advfirewall consec add rule name="dynamic tunnel"
mode=tunnel
endpoint1=any endpoint2=192.157.0.0/16
remotetunnelendpoint=2.2.2.2
action=requireinrequireout
Ag Geçidi Ilkesi (Yalnizca Ag Geçidi aygitina uygulanir):
netsh advfirewall consec add rule name="dynamic tunnel"
mode=tunnel endpoint1=192.157.0.0/16
endpoint2=any localtunnelendpoint=2.2.2.2
action=requireinrequireout
CA adi içeren bir kural ekle:
netsh advfirewall consec add rule name="cert rule"
endpoint1=any endpoint2=any action=requireinrequestout
auth1=computercert auth1ca="C=US, O=MSFT, CN=\'Microsoft Kuzey,
Güney, Dogu ve Bati Yetkilisi \'"
