netsh » advfirewall » consec » add » rule

Microsoft Windows [Version 6.1.7000]
(C) Copyright 2009 Microsoft Corp.
C:\Windows>netsh advfirewall consec add rule ? Szintaxis: add rule name= endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway| |||| endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway| |||| action=requireinrequestout|requestinrequestout| requireinrequireout|requireinclearout|noauthentication [description=] [mode=transport|tunnel (alapértelmezés: transport)] [enable=yes|no (alapértelmezés: yes)] [profile=public|private|domain|any[,...] (alapértelmezés: any)] [type=dynamic|static (alapértelmezés: static)] [localtunnelendpoint=any||] [remotetunnelendpoint=any||] [port1=0-65535|[,...]|any (alapértelmezés: any)] [port2=0-65535|[,...]|any (alapértelmezés: any)] [protocol=0-255|tcp|udp|icmpv4|icmpv6|any (alapértelmezés: any)] [interfacetype=wiresless|lan|ras|any (alapértelmezés: any)] [auth1=computerkerb|computercert|computercertecdsap256| computercertecdsap384|computerpsk|computerntlm|anonymous[,...]] [auth1psk=] [auth1ca=" [certmapping:yes|no] [excludecaname:yes|no] [catype:root|intermediate (alapértelmezés: root)] |..."] [auth1healthcert=yes|no (alapértelmezés: no)] [auth1ecdsap256ca=" [certmapping:yes|no] [excludecaname:yes|no] [catype:root|intermediate (alapértelmezés: root)] | ..."] [auth1ecdsap256healthcert=yes|no (alapértelmezés: no)] [auth1ecdsap384ca=" [certmapping:yes|no] [excludecaname:yes|no] [catype:root|intermediate (alapértelmezés: root)] | ..."] [auth1ecdsap384healthcert=yes|no (alapértelmezés: no)] [auth2=computercert|computercertecdsap256|computercertecdsap384| userkerb|usercert|usercertecdsap256|usercertecdsap384|userntlm| anonymous[,...]] [auth2ca=" [certmapping:yes|no] [catype:root|intermediate (alapértelmezés: root)] | ..."] [auth2ecdsap256ca=" [certmapping:yes|no] [catype:root|intermediate (alapértelmezés: root)] | ..."] [auth2ecdsap384ca=" [certmapping:yes|no] [catype:root|intermediate (alapértelmezés: root)] | ..."] [qmpfs=dhgroup1|dhgroup2|dhgroup14|ecdhp256|ecdhp384|mainmode| none (alapértelmezés: none)] [qmsecmethods=authnoencap:+[valuemin]+[valuekb]| ah:+esp:- +[valuemin]+[valuekb] |default] [exemptipsecprotectedconnections=yes|no (alapértelmezés: no)] [applyauthz=yes|no (alapértelmezés: no)] Megjegyzések: - A szabály nevének egyedinek kell lennie, és nem lehet "all". - Ha a mode paraméter értéke tunnel, meg kell adni az alagútvégpontokat, kivéve akkor, ha a muvelet noauthentication. Adott IP-címek megadásakor azok IP-verziójának meg kell egyeznie. Dinamikus alagutak konfigurálásakor továbbá: Az alagútvégpontok beállíthatók any értékre. A helyi alagútvégpontot nem kell megadni az ügyfélházirendhez (any). A távoli alagútvégpontokat nem kell megadni az átjáró házirendjéhez (any). A muvelet továbbá a következok egyike lehet: requireinrequireout, requireinclearout vagy noauthentication. - A requireinclearout muvelet érvénytelen, ha a mode paraméter Transport értéku. - Legalább egy hitelesítést meg kell adni. - Az auth1 és az auth2 összetevo a beállítások vesszovel elválasztott listája lehet. - A computercert elem nem adható meg az auth2 felhasználói hitelesíto adataival. - Az ecdsap256 és az ecdsap384 tanúsítvány-aláírási beállítás csak Windows Vista SP1 és újabb rendszereken támogatott. - A qmsecmethods paraméter vesszovel tagolt ajánlatlista lehet. - A qmsecmethods paraméter esetében integrity=md5|sha1|sha256|aesgmac128| aesgmac192|aesgmac256|aesgcm128|aesgcm192|aesgcm256 és encryption= 3des|des|aes128|aes192|aes256|aesgcm128|aesgcm192|aesgcm256. - Ha meg van adva az aesgcm128, az aesgcm192 vagy az aesgcm256 érték, akkor az ESP-sértetlenséghez és -titkosításhoz egyaránt használni kell. - Az aesgmac128, az aesgmac192, az aesgmac256, az aesgcm128, az aesgcm192, az aesgcm256 és az sha256 érték csak Windows Vista SP1 és újabb rendszereken támogatott. - Ha a qmpfs paraméter mainmode értéku, a PFS az alapmódú kulcscsere- beállításokat használja. - A DES, az MD5 és a DHGroup1 algoritmus használata nem ajánlott. Ezek a titkosítási algoritmusok csak a korábbi rendszerekkel való kompatibilitást szolgálják. - A certmapping és az excludecaname paraméter alapértelmezett értéke "no". - A hitelesítésszolgáltató nevében szereplo " karaktereket a \' karakterekre kell cserélni. - Az auth1ca és az auth2ca paraméter esetében a hitelesítésszolgáltató neve elott a "CN=" elotagnak kell állnia. - A catype elem a hitelesítésszolgáltató típusának megadására használható. -catype=root/intermediate - Az authnoencap paraméter a Windows 7 és az újabb rendszereken támogatott. - Az authnoencap paraméter azt jelenti, hogy a számítógépek csak hitelesítést fognak alkalmazni, és nem fognak használni csomagonkénti beágyazási vagy titkosítási algoritmusokat a kapcsolat részeként cserélt további hálózati csomagok védelme érdekében. - A QMPFS és az authnoencap paraméter nem használható együtt ugyanazon a szabályon. - Az authNoEncap paramétert legalább egy AH vagy ESP típusú sértetlenségi készletnek kell követnie. - Az applyauthz paraméter csak az alagútmód szabályaihoz adható meg. - Az exemptipsecprotectedconnections paraméter csak az alagútmód szabályaihoz adható meg. Ha ezt a jelzot "Yes" értékre állítja, az ESP-forgalom ki lesz zárva az alagútból. A csak AH típusú forgalom NEM lesz kizárva az alagútból. - A qmsecmethod paraméterhez tartozó valuemin elem (ha meg van adva) értéke 5-2880 perc lehet. A qmsecmethod paraméterhez tartozó valuekb elem (ha meg van adva) értéke 20480-2147483647 kilobájt lehet. Példák: Tartományizolációs szabály hozzáadása az alapértelmezésekkel: netsh advfirewall consec add rule name="izoláció" endpoint1=any endpoint2=any action=requireinrequestout Egyéni gyorsmódú ajánlatokat tartalmazó szabály hozzáadása: netsh advfirewall consec add rule name="egyedi" endpoint1=any endpoint2=any qmsecmethods=ah:sha1+esp:sha1-aes256+60min+20480kb,ah:sha1 action=requireinrequestout Egyéni gyorsmódú ajánlatokat tartalmazó szabály hozzáadása: netsh advfirewall consec add rule name="egyedi" endpoint1=any endpoint2=any qmsecmethods=authnoencap:sha1,ah:aesgmac256+esp:aesgmac256-none action=requireinrequestout Alagútmódú szabály létrehozása az A alhálózattól (192.168.0.0, külso IP-cím: 1.1.1.1) a B alhálózathoz (192.157.0.0, külso IP-cím: 2.2.2.2): netsh advfirewall consec add rule name="alagút" mode=tunnel endpoint1=192.168.0.0/16 endpoint2=192.157.0.0/16 remotetunnelendpoint=2.2.2.2 localtunnelendpoint=1.1.1.1 action=requireinrequireout Dinamikus alagútmódú szabály létrehozása az A alhálózattól (192.168.0.0/16) a B alhálózathoz (192.157.0.0, remoteGW=2.2.2.2): Ügyfélházirend: netsh advfirewall consec add rule name="dinamikus alagút" mode=tunnel endpoint1=any endpoint2=192.157.0.0/16 remotetunnelendpoint=2.2.2.2 action=requireinrequireout Átjáróházirend (csak az átjáróeszközre alkalmazva): netsh advfirewall consec add rule name="dinamikus alagút" mode=tunnel endpoint1=192.157.0.0/16 endpoint2=any localtunnelendpoint=2.2.2.2