Microsoft Windows [Version 6.0.6001] (C) Copyright 2006 Microsoft Corp. c:\windows>netsh ipsec dynamic add rule ?
Syntax:
rule [ srcaddr = ] (ipv4 | ipv6 | ipv4-ipv4 | ipv6-ipv6 | dns | server)
[ dstaddr = ] (ipv4 | ipv6 | ipv4-ipv4 | ipv6-ipv6 | dns | server)
[ mmpolicy = ][[ qmpolicy = ]][[ protocol = ] (ANY | ICMP | TCP | UDP | RAW |) ][[ srcport = ]][[ dstport = ]][[ mirrored = ] (yes | no) ][[ conntype = ] (lan | dialup | all) ][[ actioninbound = ] (permit | block | negotiate) ][[ actionoutbound = ] (permit | block | negotiate) ][[ srcmask = ] (Maske | Präfix) ][[ dstmask = ] (Maske | Präfix) ][[ tunneldstaddress = ] (ip | dns) ][[ kerberos = ] (yes | no) ][[ psk = ] < Vorinstallierter Schlüssel> ][[ rootca = ] " certmap:(yes | no) excludecaname:(yes | no)" ]
Fügt eine Regel hinzu.
Parameter:
Tag Wert
srcaddr -Quell-IP-Adresse (IPv4 oder IPv6), -adressbereich,
-DNS-Name oder -servertyp.
dstaddr -Ziel-IP-Adresse (IPv4 oder IPv6), -adressbereich,
-DNS-Name oder -servertyp.
mmpolicy -Hauptmodusrichtlinie
qmpolicy -Schnellmodusrichtlinie
protocol -ANY, ICMP, TCP, UDP, RAW oder eine ganze Zahl.
Gültige Werte für den Port sind TCP oder UDP.
srcport -Quellport (0 bedeutet beliebiger Port)
dstport -Zielport(0 bedeutet beliebiger Port)
mirrored -Durch "Yes" werden zwei Filter erstellt, einen für
jede Richtung.
conntype -Verbindungstyp
actioninbound -Aktion für eingehende Pakete
actionoutbound -Aktion für ausgehende Pakete
srcmask -Quelladressmaske oder ein Präfix zwischen 1 und 32. Nicht
zutreffend, falls ein Bereich für "srcaddr" festgelegt
wurde.
dstmask -Zieladressmaske oder ein Präfix zwischen 1 und 32. Nicht
zutreffend, falls ein Bereich für "dstaddr" festgelegt
wurde.
tunneldstaddress -Tunnelziel-IP-Adresse oder -DNS-Name.
kerberos -Bietet Kerberos-Authentifizierung bei Angabe von "yes".
psk -Bietet Kerberos-Authentifizierung durch Angabe eines
vordefinierten Schlüssels.
rootca -Bietet Authentifizierung mit einem angegebenen
Stammzertifikat. Bei certmap:Yes wird versucht, das
Zertifikat zuzuordnen. Bei excludecaname:Yes wird der
Zertifizierungsstellenname ausgelassen.
Anmerkungen: 1. Port ist für TCP und UDP gültig.
2. Servertyp kann WINS, DNS, DHCP oder GATEWAY sein.
3. Standard für actioninbound und actionoutbound ist
"negotiate".
4. mirrored muss für den Tunnelregeln auf "no" gesetzt werden.
5. Zertifikat-, Zuordnungs- und Zertifizierungsstellenname-
Einstellungen müssen in Anführungszeichen angegeben werden.
Eingebettete Anführungszeichen müssen durch \' ersetzt
werden.
6. Zertifikatzuordnung gilt nur für Domänenmitglieder.
7. Mehrfache Zertifikate können durch mehrfache Angabe des
Parameters "rootca" angegeben werden.
8. Die bevorzugte Authentifizierungsmethode wird durch die
Reihenfolgenangabe im Befehl bestimmt.
9. Ohne Angabe von Authentifizierungsmethode werden
dynamische Standardwerte verwendet.
10. Durch Auslassung des Stammzertifizierungsstellen-Namens
kann der Name nicht als Teil der Authentifizierungs-
anforderung gesendet werden.
11. Wenn ein Adressbereich angegeben wurde, müssen die Endpunkte
festgelegte Adressen (keine Listen oder Subnetze) und vom
selben Typ (beide v4 oder beide v6) sein.
Beispiel: add rule srcaddr=192.168.145.110 dstaddr=192.168.145.215
mmpolicy=mmp
qmpolicy=qmp mirrored=no srcmask=32 dstmask=255.255.255.255
rootca="C=US,O=MSFT,CN=Microsoft Authenticode(tm)-
Stammzertifizierungsstelle"
rootca="C=US,O=MSFT,CN=\"Microsoft Nord-, Süd-, Ost- und
West-Stammzertifizierungsstelle\"
certmap:yes excludecaname:no"