Utilisation : rule srcaddr = (ip | dns | server) dstaddr = (ip | dns | server) protocol = (ANY | ICMP | TCP | UDP | RAW | ...

Utilisation :
  rule [ srcaddr = ] (ip | dns | server)
       [ dstaddr = ] (ip | dns | server)
       [ protocol = ] (ANY | ICMP | TCP | UDP | RAW | )
       [ srcport = ] 
       [ dstport = ] 
       [ mirrored = ] (yes | no)
       [ conntype = ] (lan | dialup | all)
       [ [ srcmask = ] (mask | prefix) ]
       [ [ dstmask = ] (mask | prefix) ]
       [ [ tunneldstaddress = ] (ip | dns) ]
       [ [ mmpolicy = ]  ]
       [ [ qmpolicy = ]  ]
       [ [ actioninbound = ] (permit | block | negotiate) ]
       [ [ actionoutbound = ] (permit | block | negotiate) ]
       [ [ kerberos = ] (yes | no) ]
       [ [ psk = ]  ]
       [ [ rootca = ] " certmap:(yes | no) excludecaname:
       (yes | no)" ]

  Modifie une règle et les filtres associés dans le SPD.

Paramètres :

  Balise            Valeur
  srcaddr          -Adresse ip source (ipv4 ou ipv6), plage d'adresses, nom
                    dns ou type de serveur.
  dstaddr          -Adresse ip de destination (ipv4 ou ipv6), plage d'adresses,
                    nom dns ou type de serveur.
  protocol         -Peut être ANY, ICMP, TCP, UDP, RAW, ou un entier.
  srcport          -Port source (0 signifie n'importe quel port)
  dstport          -Destination port (0 signifie n'importe quel port)
  mirrored         -La valeur « Yes » crée deux filtres, un dans chaque sens.
  conntype         -Type de connexion
  srcmask          -Masque d'adresses source ou préfixe de 1 à 32. Non
                    applicable si srcaddr est une plage
  dstmask          -Masque d'adresses de destination ou préfixe de 1 à 32. Non
                    applicable si dstaddr est une plage
  tunneldstaddress -Adresse IP ou nom DNS de destination du tunnel.
  mmpolicy         -Stratégie Mode principal
  qmpolicy         -Stratégie Mode rapide
  actioninbound    -Action pour les paquets entrants
  actionoutbound   -Action pour les paquets sortants
  kerberos         -Fournit l'authentification Kerberos si « yes » est spécifié
  psk              -Fournit l'authentification en utilisant une clé
                    pré-partagée
  rootca           -Fournit l'authentification en utilisant un certificat
                    racine spécifié, va tenter de mapper le certificat si
                    certmap:Yes est spécifié, va exclure le nom de l'autorité
                    de certificat si excludecaname:Yes est spécifié.

Remarques :  1. Mmpolicy, qmpolicy, actioninbound, actionoutbound
                et authmethods peuvent être définis, les autres champs sont
                des identificateurs.
             2. Le type de serveur peut être WINS, DNS, DHCP ou GATEWAY
             3. Les paramètres de certificat, de mappage et d'AC doivent être
                placés entre guillemets, les guillemets imbriqués doivent être
                remplacés par \'.
             4. Le mappage de certificats n'est valide que pour les membres
                d'un domaine.
             5. Plusieurs certificats peuvent être spécifiés en utilisant le
                paramètre rootca plusieurs fois.
             6. La préférence pour chaque méthode d'authentification est
                déterminée par sa place dans la commande.
             7. Si aucune méthode d'authentification n'est spécifiée, les
                valeurs par défaut dynamiques sont utilisées.
             8. Toutes les méthodes d'authentification sont remplacées par la
                liste mentionnée.
             9. L'exclusion du nom de l'autorité de certification (CA) racine
                empêche l'envoi du nom au sein de la demande de certificat.
            10. Si une plage d'adresses est spécifiée, les points de
                terminaison doivent être des adresses spécifiques (ni listes,
                ni sous-réseaux) et de même type (tous deux de v4 ou tous deux
                v6).

Exemples :   1. set rule srca=WINS dsta=0.0.0.0 srcmask=32 dstmask=32
                tunneldst=192.168.145.1
                proto=tcp srcport=80 dstport=80 mir=no con=lan
                qmp=qmp actionin=negotiate actionout=permit
             2. set rule srcaddr=192.168.145.110 dstaddr=192.168.145.215
                mmpolicy=mmp qmpolicy=qmp mirrored=no srcmask=32
                rootca="C=US,O=MSFT,CN=Microsoft Authenticode(tm) Root
                Authority"
                rootca="C=US,O=MSFT,CN=\'Microsoft North, South, East, and West
                Root Authority\' certmap:yes excludecaname:no"