Microsoft Windows [Version 6.1.7000] (C) Copyright 2009 Microsoft Corp. C:\Windows>netsh ipsec dynamic add rule ?
Uso:
rule [ srcaddr = ] (ipv4 | ipv6 | ipv4-ipv4 | ipv6-ipv6 | dns | server)
[ dstaddr = ] (ipv4 | ipv6 | ipv4-ipv4 | ipv6-ipv6 | dns | server)
[ mmpolicy = ][[ qmpolicy = ]][[ protocol = ] (ANY | ICMP | TCP | UDP | RAW |) ][[ srcport = ]][[ dstport = ]][[ mirrored = ] (yes | no) ][[ conntype = ] (lan | dialup | all) ][[ actioninbound = ] (permit | block | negotiate) ][[ actionoutbound = ] (permit | block | negotiate) ][[ srcmask = ] (mask | prefix) ][[ dstmask = ] (mask | prefix) ][[ tunneldstaddress = ] (ip | dns) ][[ kerberos = ] (yes | no) ][[ psk = ]][[ rootca = ] " certmap:(yes | no)
excludecaname:(yes | no)" ]
Agrega una regla.
Parámetros:
Etiqueta Valor
srcaddr - Dirección IP (ipv4 o ipv6), intervalo de direcciones,
nombre DNS o tipo de servidor de origen.
dstaddr -Dirección IP (ipv4 o ipv6), intervalo de direcciones,
nombre DNS o tipo de servidor de destino.
mmpolicy -Directiva de modo principal
qmpolicy -Directiva de modo rápido
protocol -Puede ser ANY, ICMP, TCP, UDP, RAW o un entero.
srcport -Puerto de origen (0 significa cualquier puerto)
dstport -Puerto de destino (0 significa cualquier puerto)
mirrored -"Yes" crea dos filtros, uno en cada dirección.
conntype -Conexión
actioninbound -Acción para paquetes de entrada
actionoutbound -Acción para paquetes de salida
srcmask -Máscara de dirección de origen o prefijo de 1 a 32.
No se aplica si scraddr se establece como un intervalo
dstmask -Máscara de dirección de destino o prefijo de 1 a 32.
No se aplica si dstaddr se establece como un intervalo
tunneldstaddress -Tipo de dirección IP o nombre DNS de destino de túnel
kerberos -Proporciona autenticación kerberos si se especifica "yes".
psk -Proporciona autenticación mediante una clave previamente
compartida especificada.
rootca -Proporciona autenticación mediante un certificado raíz
especificado, intenta asignar el certif. si se especifica
certmap:Yes y excluye el nombre de entidad de certificación si se
especifica excludecaname:Yes.
Notas: 1. Puerto válido para TCP y UDP.
2. El tipo de servidor puede ser WINS, DNS, DHCP o GATEWAY
3. El Valor predeterminado de actioninbound y actionoutbound
es "negotiate".
4. Para las reglas de túnel, "mirrored" tiene que establecerse
como "no".
5. Las configuraciones del nombre de certificado, asignación y
entidad de certificación tienen que estar entre comillas. Las comillas
incrustadas deben reemplazarse con \'.
6. La asignación de certificados sólo es válida para miembros del
dominio.
7. Se pueden proporcionar varios certificados si se usa el
parámetro rootca varias veces.
8. La preferencia de cada método de autenticación se determina por
su orden en el comando.
9. Si no se especifican métodos de autentic., se usan los valores
predeterminados dinámicos.
10. Si se excluye el nombre de la entidad de certificación
(CA) raíz se evita que se envíe el nombre como parte de la
solicitud de certificado.
11. Si se especifica un intervalo de direcciones, los extremos
deben ser direcciones específicas (no listas ni subredes) y
del mismo tipo (ambas v4 o v6)
Ejemplos: add rule srcaddr=192.168.145.110 dstaddr=192.168.145.215
mmpolicy=mmp
qmpolicy=qmp mirrored=no srcmask=32 dstmask=255.255.255.255
rootca="C=US,O=MSFT,CN=Microsoft Authenticode(tm) Root Authority"
rootca="C=US,O=MSFT,CN=\'Microsoft North, South, East, and West Root
Authority\' certmap:yes excludecaname:no"