Uso: add rule name= dir=in|out action=allow|block|bypass program= service= |any description= enable=yes|no (predeterminado=yes) ...

Uso: add rule name=
      dir=in|out
      action=allow|block|bypass
      [program=]
      [service=|any]
      [description=]
      [enable=yes|no (predeterminado=yes)]
      [profile=public|private|domain|any[,...]]
      [localip=any|||||]
      [remoteip=any|localsubnet|dns|dhcp|wins|defaultgateway|
         ||||]
      [localport=0-65535|[,...]|RPC|
         RPC-EPMap|IPHTTPS|any (predeterminado=any)]
      [remoteport=0-65535|[,...]|any
         (predeterminado=any)]
      [protocol=0-255|icmpv4|icmpv6|icmpv4:type,code|icmpv6:type,code|
         tcp|udp|any (predeterminado=any)]
      [interfacetype=wireless|lan|ras|any]
      [rmtcomputergrp=]
      [rmtusrgrp=]
      [edge=yes|deferapp|deferuser|no (predeterminado=no)]
      [security=authenticate|authenc|authdynenc|authnoencap|notrequired
         (predeterminado=notrequired)]

Notas:

      - Agrega una regla de entrada o de salida nueva a la directiva de
        firewall.
      - El nombre de la regla debe ser único y no puede ser "all".
      - Si se especifica un grupo de usuarios o equipos remotos, security se
        debe establecer en authenticate, authenc, authdynenc o authnoencap.
      - Si security se establece en authdynenc, los sistemas pueden negociar
        dinámicamente el uso del cifrado para el tráfico que coincida con una
        regla de Firewall de Windows determinada. El cifrado se negocia
        basándose en las propiedades de la regla de seguridad de conexión
        existente. Esta opción permite que un equipo acepte el primer paquete
        TCP o UDP de una conexión IPsec entrante siempre y cuando esté
        protegida, pero no cifrada, mediante IPsec.
        Una vez procesado el primer paquete, el servidor renegociará la
        conexión y la actualizará de modo que todas las comunicaciones
        siguientes estén completamente cifradas.
      - Si action=bypass, el grupo de equipos remotos debe especificarse
        cuando dir=in.
      - Si service=any, la regla se aplica solo a servicios.
      - El código o tipo ICMP puede ser "any".
      - Edge solo se puede especificar para reglas de entrada.
      - Los valores authenc y authnoencap no pueden usarse juntos.
      - El valor authdynenc solo es válido cuando dir=in.
      - Cuando se establece authnoencap, la opción security=authenticate se
        convierte en un parámetro opcional.

Ejemplos:

      Agregar una regla de entrada sin seguridad de encapsulación para
      explorador.exe:
      netsh advfirewall firewall add rule name="permitir explorador"
      dir=in program="c:\archivos de programa\explorador\explorador.exe"
      security=authnoencap action=allow

      Agregar una regla de salida para el puerto 80:
      netsh advfirewall firewall add rule name="permitir80"
      protocol=TCP dir=out localport=80 action=block

      Agregar una regla de entrada que requiera seguridad y cifrado para el
      tráfico TCP del puerto 80:
      netsh advfirewall firewall add rule
      name="Requerir cifrado para el tráfico TCP/80 entrante"
      protocol=TCP dir=in localport=80 security=authdynenc
      action=allow

      Agregar una regla de entrada para explorador.exe y requerir seguridad
      netsh advfirewall firewall add rule name="permitir explorador"
      dir=in program="c:\archivos de programa\explorador\explorador.exe"
      security=authenticate action=allow

      Agregar una regla de bypass de firewall autenticado para el grupo
      acmedomain\escáneres identificado por una cadena SDDL:
      netsh advfirewall firewall add rule name="permitir escáneres""
      dir=in rmtmachgrp= action=bypass
      security=authenticate

      Agregar una regla de permiso de salida para los puertos locales
      5000-5010 para udp-
      Add rule name="Permitir intervalo de puertos" dir=out protocol=udp
      localport=5000-5010 action=allow