Syntax: rule srcaddr = (ipv4 | ipv6 | ipv4-ipv4 | ipv6-ipv6 | dns | server) dstaddr = (ipv4 | ipv6 | ipv4-ipv4 | ipv6-ipv6 ...

Syntax:
  rule [ srcaddr = ] (ipv4 | ipv6 | ipv4-ipv4 | ipv6-ipv6 | dns | server)
       [ dstaddr = ] (ipv4 | ipv6 | ipv4-ipv4 | ipv6-ipv6 | dns | server)
       [ mmpolicy = ] 
       [ [ qmpolicy = ]  ]
       [ [ protocol = ] (ANY | ICMP | TCP | UDP | RAW | ) ]
       [ [ srcport = ]  ]
       [ [ dstport = ]  ]
       [ [ mirrored = ] (yes | no) ]
       [ [ conntype = ] (lan | dialup | all) ]
       [ [ actioninbound = ] (permit | block | negotiate) ]
       [ [ actionoutbound = ] (permit | block | negotiate) ]
       [ [ srcmask = ] (Maske | Präfix) ]
       [ [ dstmask = ] (Maske | Präfix) ]
       [ [ tunneldstaddress = ] (ip | dns) ]
       [ [ kerberos = ] (yes | no) ]
       [ [ psk = ] < Vorinstallierter Schlüssel> ]
       [ [ rootca = ] " certmap:(yes | no) excludecaname:(yes | no)" ]

  Fügt eine Regel hinzu.

Parameter:

  Tag               Wert
  srcaddr          -Quell-IP-Adresse (IPv4 oder IPv6), -adressbereich,
                    -DNS-Name oder -servertyp.
  dstaddr          -Ziel-IP-Adresse (IPv4 oder IPv6), -adressbereich,
                    -DNS-Name oder -servertyp.
  mmpolicy         -Hauptmodusrichtlinie
  qmpolicy         -Schnellmodusrichtlinie
  protocol         -ANY, ICMP, TCP, UDP, RAW oder eine ganze Zahl.
                    Gültige Werte für den Port sind TCP oder UDP.
  srcport          -Quellport (0 bedeutet beliebiger Port)
  dstport          -Zielport(0 bedeutet beliebiger Port)
  mirrored         -Durch "Yes" werden zwei Filter erstellt, einen für
                    jede Richtung.
  conntype         -Verbindungstyp
  actioninbound    -Aktion für eingehende Pakete
  actionoutbound   -Aktion für ausgehende Pakete
  srcmask          -Quelladressmaske oder ein Präfix zwischen 1 und 32. Nicht
                    zutreffend, falls ein Bereich für "srcaddr" festgelegt
                    wurde.
  dstmask          -Zieladressmaske oder ein Präfix zwischen 1 und 32. Nicht
                    zutreffend, falls ein Bereich für "dstaddr" festgelegt
                    wurde.
  tunneldstaddress -Tunnelziel-IP-Adresse oder -DNS-Name.
  kerberos         -Bietet Kerberos-Authentifizierung bei Angabe von "yes".
  psk              -Bietet Kerberos-Authentifizierung durch Angabe eines
                    vordefinierten Schlüssels.
  rootca           -Bietet Authentifizierung mit einem angegebenen
                    Stammzertifikat. Bei certmap:Yes wird versucht, das
                    Zertifikat zuzuordnen. Bei excludecaname:Yes wird der
                    Zertifizierungsstellenname ausgelassen.

Anmerkungen: 1. Port ist für TCP und UDP gültig.
             2. Servertyp kann WINS, DNS, DHCP oder GATEWAY sein.
             3. Standard für actioninbound und actionoutbound ist
                "negotiate".
             4. mirrored muss für den Tunnelregeln auf "no" gesetzt werden.
             5. Zertifikat-, Zuordnungs- und Zertifizierungsstellenname-
                Einstellungen müssen in Anführungszeichen angegeben werden.
                Eingebettete Anführungszeichen müssen durch \' ersetzt
                werden.
             6. Zertifikatzuordnung gilt nur für Domänenmitglieder.
             7. Mehrfache Zertifikate können durch mehrfache Angabe des
                Parameters "rootca" angegeben werden.
             8. Die bevorzugte Authentifizierungsmethode wird durch die
                Reihenfolgenangabe im Befehl bestimmt.
             9. Ohne Angabe von Authentifizierungsmethode werden
                dynamische Standardwerte verwendet.
            10. Durch Auslassung des Stammzertifizierungsstellen-Namens
                kann der Name nicht als Teil der Authentifizierungs-
                anforderung gesendet werden.
            11. Wenn ein Adressbereich angegeben wurde, müssen die Endpunkte
                festgelegte Adressen (keine Listen oder Subnetze) und vom
                selben Typ (beide v4 oder beide v6) sein.

Beispiel:       add rule srcaddr=192.168.145.110 dstaddr=192.168.145.215
                mmpolicy=mmp
                qmpolicy=qmp mirrored=no srcmask=32 dstmask=255.255.255.255
                rootca="C=US,O=MSFT,CN=Microsoft Authenticode(tm)-
                Stammzertifizierungsstelle"
                rootca="C=US,O=MSFT,CN=\"Microsoft Nord-, Süd-, Ost- und
                West-Stammzertifizierungsstelle\"
                certmap:yes excludecaname:no"