netsh » advfirewall » consec » add » rule

Microsoft Windows [Version 6.1.7000]
(C) Copyright 2009 Microsoft Corp.
C:\Windows>netsh advfirewall consec add rule ? 使用法: add rule name=<文字列> endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway| ||<サブネット>|<範囲>|<一覧> endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway| ||<サブネット>|<範囲>|<一覧> action=requireinrequestout|requestinrequestout| requireinrequireout|requireinclearout|noauthentication [description=<文字列>] [mode=transport|tunnel (既定値 = transport)] [enable=yes|no (既定値 = yes)] [profile=public|private|domain|any[,...] (既定値 = any)] [type=dynamic|static (既定値 = static)] [localtunnelendpoint=any||] [remotetunnelendpoint=any||] [port1=0-65535|<ポート範囲>[,...]|any (既定値 = any)] [port2=0-65535|<ポート範囲>[,...]|any (既定値 = any)] [protocol=0-255|tcp|udp|icmpv4|icmpv6|any (既定値 = any)] [interfacetype=wiresless|lan|ras|any (既定値 = any)] [auth1=computerkerb|computercert|computercertecdsap256| computercertecdsap384|computerpsk|computerntlm|anonymous[,...]] [auth1psk=<文字列>] [auth1ca=" [certmapping:yes|no] [excludecaname:yes|no] [catype:root|intermediate (既定値 = root)] |..."] [auth1healthcert=yes|no (既定値 = no)] [auth1ecdsap256ca=" [certmapping:yes|no] [excludecaname:yes|no] [catype:root|intermediate (既定値 = root)] | ..."] [auth1ecdsap256healthcert=yes|no (既定値 = no)] [auth1ecdsap384ca=" [certmapping:yes|no] [excludecaname:yes|no] [catype:root|intermediate (既定値 = root)] | ..."] [auth1ecdsap384healthcert=yes|no (既定値 = no)] [auth2=computercert|computercertecdsap256|computercertecdsap384| userkerb|usercert|usercertecdsap256|usercertecdsap384|userntlm| anonymous[,...]] [auth2ca=" [certmapping:yes|no] [catype:root|intermediate (既定値 = root)] | ..."] [auth2ecdsap256ca=" [certmapping:yes|no] [catype:root|intermediate (既定値 = root)] | ..."] [auth2ecdsap384ca=" [certmapping:yes|no] [catype:root|intermediate (既定値 = root)] | ..."] [qmpfs=dhgroup1|dhgroup2|dhgroup14|ecdhp256|ecdhp384|mainmode| none (既定値 = none)] [qmsecmethods=authnoencap:<整合性>+[分数]+[KB 数]| ah:<整合性>+esp:<整合性>-<暗号化>+[分数]+[KB 数] |default] [exemptipsecprotectedconnections=yes|no (既定値 = no)] [applyauthz=yes|no (既定値 = no)] 注釈: - 規則名は一意にする必要があり、"all" にはできません。 - mode=tunnel のとき、操作が noauthentication の場合を除いて、トンネル エンドポイントを指定する必要があります。 特定の IP アドレスを入力する場合は、同じ IP バージョンである必要があ ります。 また、動的トンネルを構成する場合は次のようにします: トンネル エンドポイントは any に設定できます。クライアント ポリシーに 対しては、ローカル トンネル エンドポイントを指定する必要はありません (つまり、any に設定できます)。 ゲートウェイのポリシーに対しては、リモート トンネル オプションを指定す る必要はありません (つまり、any に設定できます)。 また、action は requireinrequireout、requireinclearout、または noauthentication にする必要があります。 - mode=Transport の場合は requireinclearout は無効です。 - 少なくとも 1 つの認証を指定する必要があります。 - auth1 と auth2 には、複数のオプションをコンマで区切って指定できます。 - auth1 に computerpsk と computerntlm の両方のメソッドを共に指定するこ とはできません。 - computercert は auth2 のユーザー資格情報と共に指定することはできませ ん。 - certsigning オプションの ecdsap256 および ecdsap384 は、Windows Vista SP1 以降でのみサポートされます。 - qmsecmethods には、複数の指定値を "," で区切って指定できます。 - qmsecmethods には、integrity=md5|sha1|sha256|aesgmac128|aesgmac192| aesgmac256|aesgcm128|aesgcm192|aesgcm256 および encryption=3des|des| aes128|aes192|aes256|aesgcm128|aesgcm192|aesgcm256 を指定できます。 - aesgcm128、aesgcm192、または aesgcm256 を指定する場合、ESP 整合性と 暗号化にもこれを使用する必要があります。 - aesgmac128、aesgmac192、aesgmac256、aesgcm128、aesgcm192、aesgcm256、 sha256 は、Windows Vista SP1 以降でのみサポートされます。 - qmpfs=mainmode は、PFS のメインモードのキー交換設定を使用します。 - DES、MD5 および DHGroup1 の使用はお勧めしません。これらの暗号化アルゴリ ズムは下位互換性を維持する目的でのみ提供されています。 - certmapping および excludecaname の既定値は 'no' です。 - CA 名内の文字 " は、\' に置き換える必要があります。 - auth1ca および auth2ca の CA 名には、プレフィックス 'CN=' を付ける必要 があります。 - catype を使用して証明機関の種類を指定できます。 (catype=root/intermediate) - authnoencap は Windows 7 以降でﾌみサポートされます。 - authnoencap は、コンピューターが認証のみを使用し、パケットごとのカプセ ル化や暗号化アルゴリズムを使用して、この接続の一環として交換される後続 のネットワーク パケットを保護しないことを示します。 - 同じ規則に QMPFS と authnoencap を共に使用することはできません。 - AuthNoEncap では、少なくとも 1 つの AH または ESP 整合性スイートを併せ て指定する必要があります。 - applyauthz は、トンネル モードの規則にのみ指定できます。 - exemptipsecprotectedconnections は、トンネル モードの規則にのみ指定でき ます。このフラグを "yes" に設定することで、ESP トラフィックがトンネル から除外されます。 AH のみのトラフィックはトンネルから除外されません。 - qmsecmethod の Valuemin (指定されている場合) は、5 ～ 2880 分の間で あることが必要です。qmsecmethod の Valuekb (指定されている場合) は、 20480 ～ 2147483647 KB の間であることが必要です。 例: 既定値を使用してドメインを分離するための規則を追加します: netsh advfirewall consec add rule name="isolation" endpoint1=any endpoint2=any action=requireinrequestout カスタム クイック モードの指定値を持つ規則を追加します: netsh advfirewall consec add rule name="custom" endpoint1=any endpoint2=any qmsecmethods=ah:sha1+esp:sha1-aes256+60min+20480kb,ah:sha1 action=requireinrequestout カスタム クイック モードの指定値を持つ規則を追加します: netsh advfirewall consec add rule name="custom" endpoint1=any endpoint2=any qmsecmethods=authnoencap:sha1,ah:aesgmac256+esp:aesgmac256-none action=requireinrequestout サブネット A (192.168.0.0, external ip=1.1.1.1) から サブネット B (192.157.0.0, external ip=2.2.2.2) に接続するための トンネル モードの規則を作成します: netsh advfirewall consec add rule name="my tunnel" mode=tunnel endpoint1=192.168.0.0/16 endpoint2=192.157.0.0/16 remotetunnelendpoint=2.2.2.2 localtunnelendpoint=1.1.1.1 action=requireinrequireout サブネット A (192.168.0.0/16) から サブネット B (192.157.0.0, remoteGW=2.2.2.2) に接続するための 動的トンネル モードの規則を作成します。 クライアント ポリシーの場合: netsh advfirewall consec add rule name="dynamic tunnel" mode=tunnel endpoint1=any endpoint2=192.157.0.0/16 remotetunnelendpoint=2.2.2.2 action=requireinrequireout ゲートウェイ ポリシーの場合 (ゲートウェイ デバイスにのみ適用): netsh advfirewall consec add rule name="dynamic tunnel" mode=tunnel endpoint1=192.157.0.0/16 endpoint2=any localtunnelendpoint=2.2.2.2 action=requireinrequireout CA 名を指定して規則を追加します: netsh advfirewall consec add rule name="cert rule" endpoint1=any endpoint2=any action=requireinrequestout auth1=computercert auth1ca="C=US, O=MSFT, CN=\'Microsoft North, South, East, and West Root Authority\'"