Microsoft Windows [Version 6.0.6001] (C) Copyright 2006 Microsoft Corp. c:\windows>netsh advfirewall consec add rule ?
Syntax: add rule name=
endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|||||
endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|||||
action=requireinrequestout|requestinrequestout|
requireinrequireout|noauthentication
[description=][mode=transport|tunnel (Standard =transport)][enable=yes|no (Standard =yes)][profile=public|private|domain|any[,...] (Standard=any)][type=dynamic|static (Standard =static)][localtunnelendpoint=|][remotetunnelendpoint=|][port1=0-65535|any (Standard =any)][port2=0-65535|any (Standard =any)][protocol=0-255|tcp|udp|icmpv4|icmpv6|any (Standard=any)][interfacetype=wiresless|lan|ras|any (Standard=any)][auth1=computerkerb|computercert|computerpsk|
computerntlm|anonymous[,...]][auth1psk=][auth1ca="[certmapping:yes|no][excludecaname:yes|no]| ..."][auth1healthcert=yes|no (Standard=no)][auth2=computercert|userkerb|usercert|userntlm|anonymous[,...]][auth2ca="< Zertifizierungsstellenname > [certmapping:yes|no]| ..."][auth2healthcert=yes|no (Standard=no)][qmpfs=dhgroup1|dhgroup2|dhgroup14|ecdhp256|ecdhp384|mainmode|
none (Standard=none)][qmsecmethods=
ah:+esp:-+
[valuemin]+[valuekb]|default]
Anmerkungen:
- Regelnamen müssen eindeutig sein. Der Name "all" kann nicht verwendet
werden.
- Wenn "mode=tunnel" eingestellt ist, müssen beide Tunnelendpunkte
angegeben werden und dieselbe IP-Version besitzen. Zudem muss "action"
auf "requireinrequireout" festgelegt werden.
- Mindestens eine Authentifizierungsmethode muss angegeben werden.
- "auth1" und "auth2" können als kommagetrennte Liste von Optionen
angegeben werden.
- Die Methoden "computerpsk" und "computertlm" können nicht zusammen
für "auth1" angegeben werden.
- "computercert" kann nicht zusammen mit Benutzeranmeldeinformationen für
"auth2" angegeben werden.
- Bei "qmsecethods" kann es sich um eine Liste von Vorschlägen mit dem
Trennzeichen"," handeln.
- Für "qmsecmethods" werden als Integrität "md5|sha1" und
als Verschlüsselung "3des|des|aes128|aes192|aes256" verwendet
- "qmpfs=mainmode" verwendet die Schlüsselaustauscheinstellung des
Hauptmodus für PFS.
- Die Verwendung von DES, MD5 und DHGroup1 wird nicht empfohlen. Diese
kryptografischen Algorithmen werden aus Gründen der
Abwärtskompatibilität angeboten.
- Der Standardwert für certmapping und excludecaname ist "no".
- Das Zeichen " innerhalb eines Zertifizierungsstellennamens muss durch
\" ersetzt werden.
Beispiele:
Regel für die Domänenisolation mit Standardwerten hinzufügen:
netsh advfirewall consec add rule name="isolation"
endpoint1=any endpoint2=any action=requireinrequestout
Regel mit benutzerdefinierten Schnellmodusvorschlägen hinzufügen:
netsh advfirewall consec add rule name="custom"
endpoint1=any endpoint2=any
qmsecmethods=ah:md5+esp:md5-3des+60min+20480kb,ah:sha1
action=requireinrequestout
Tunnelmodusregel erstellen von
Subnetz A (192.168.0.0, extern ip=1.1.1.1) bis
Subnetz B (192.157.0.0, extern ip=2.2.2.2):
netsh advfirewall consec add rule name="eigener tunnel" mode=tunnel
endpoint1=192.168.0.0/16 endpoint2=192.157.0.0/16
remotetunnelendpoint=2.2.2.2
localtunnelendpoint=1.1.1.1 action=requireinrequireout
Regel mit Zertifizierungsstellennamen hinzufügen:
netsh advfirewall consec add rule name="Zertregel"
endpoint1=any endpoint2=any action=requireinrequestout
auth1=computercert auth1ca="C=US, O=MSFT, CN=\'Microsoft North,
South, East, and West Root Authority\'"