Microsoft Windows [Version 6.1.7000] (C) Copyright 2009 Microsoft Corp. C:\Windows>netsh advfirewall firewall add rule ?
Kullanim: add rule name=
dir=in|out
action=allow|block|bypass
[program=][service=|any][description=][enable=yes|no (default=yes)][profile=public|private|domain|any[,...]][localip=any|||||][remoteip=any|localsubnet|dns|dhcp|wins|defaultgateway|||||][localport=0-65535|[,...]|RPC|RPC-EPMap|IPHTTPS|any
(default=any)][remoteport=0-65535|[,...]|any (default=any)][protocol=0-255|icmpv4|icmpv6|icmpv4:type,code|icmpv6:type,code|
tcp|udp|any (default=any)][interfacetype=wireless|lan|ras|any][rmtcomputergrp=][rmtusrgrp=][edge=yes|deferapp|deferuser|no (default=no)][security=authenticate|authenc|authdynenc|authnoencap|notrequired
(default=notrequired)]
Açiklamalar:
- Güvenlik duvari ilkesine yeni bir gelen veya giden kurali ekle.
- Kural adi benzersiz olmalidir ve "all" olamaz.
- Bir uzak bilgisayar veya kullanici grubu belirtilirse, güvenlik
degeri authenticate, authenc, authdynenc veya authnoencap olmalidir.
- Güvenlik degerinin authdynenc olarak ayarlanmasi, sistemlerin belirli
bir Windows Güvenlik Duvari kurali ile eslesen trafik için sifreleme
kullanimini dinamik olarak anlasmasini saglar. Sifreleme üzerinde,
varolan baglanti güvenligi kurali özellikleri temel alinarak
anlasilir. Bu seçenek, makinenin IPSec kullanilarak
sifrelenmemis ancak güvenligi saglanmis gelen IPSec baglantisinin
ilk TCP veya UDP paketini kabul etmesini saglar.
Ilk paket islendikten sonra sunucu, yeniden baglanti anlasmasi yapar
ve tüm sonraki iletisimler tamamen sifrelenene dek onu yükseltir.
- Action=bypass ise, uzak bilgisayar grubunun dir=in oldugunda
belirtilmesi gerekir.
- Service=any ise, kural yalnizca hizmetler için geçerlidir.
- ICMP türü veya kod "any" olabilir.
- Edge yalnizca gelen kurallari için belirtilebilir.
- AuthEnc ve authnoencap birlikte kullanilamaz.
- Authdynenc yalnizca dir=in oldugunda geçerlidir.
- authnoencap ayarlandiginda security=authenticate seçenegi istege
bagli bir parametre halini alir.
Örnekler:
Messenger.exe için kapsülleme güvenligi olmadan bir gelen kurali ekler:
netsh advfirewall firewall add rule name="messenger'a izin ver"
dir=in program="c:\programfiles\messenger\msmsgs.exe"
security=authnoencap action=allow
Baglanti noktasi 80 için bir giden kurali ekler:
netsh advfirewall firewall add rule name="80'e izin ver0"
protocol=TCP dir=out localport=80 action=block
TCP baglanti noktasi 80 trafigi için
güvenlik ve sifreleme gerektiren bir gelen kurali ekler:
netsh advfirewall firewall add rule
name="Gelen TCP/80 için Sifreleme Gerektir"
protocol=TCP dir=in localport=80 security=authdynenc
action=allow
messenger.exe için bir gelen kurali ekler ve güvenligi gerekli kilar
netsh advfirewall firewall add rule name="messenger'a izin ver"
dir=in program="c:\program files\messenger\msmsgs.exe"
security=authenticate action=allow
SDDL dizesi ile tanimlanan acmedomain\scanners grubu için
kimligi dogrulanan güvenlik duvari geçis kurali ekler:
netsh advfirewall firewall add rule name="tarayicilara izin ver"
dir=in rmtcomputergrp= action=bypass
security=authenticate
Udp'ye ait yerel baglanti noktalari 5000-5010 için bir gidene izin
verme kurali ekler
Add rule name="Baglanti noktasi araligina izin ver" dir=out
protocol=udp localport=5000-5010 action=allow
