Sintassi: rule srcaddr = (ipv4 | ipv6 | ipv4-ipv4 | ipv6-ipv6 | dns | server) dstaddr = (ipv4 | ipv6 | ipv4-ipv4 | ipv6-ipv6 ...

Sintassi:
  rule [ srcaddr = ] (ipv4 | ipv6 | ipv4-ipv4 | ipv6-ipv6 | dns | server)
       [ dstaddr = ] (ipv4 | ipv6 | ipv4-ipv4 | ipv6-ipv6 | dns | server)
       [ mmpolicy = ] 
       [ [ qmpolicy = ]  ]
       [ [ protocol = ] (ANY | ICMP | TCP | UDP | RAW | ) ]
       [ [ srcport = ]  ]
       [ [ dstport = ]  ]
       [ [ mirrored = ] (yes | no) ]
       [ [ conntype = ] (lan | dialup | all) ]
       [ [ actioninbound = ] (permit | block | negotiate) ]
       [ [ actionoutbound = ] (permit | block | negotiate) ]
       [ [ srcmask = ] (maschera | prefisso) ]
       [ [ dstmask = ] (maschera | prefisso) ]
       [ [ tunneldstaddress = ] (ip | dns) ]
       [ [ kerberos = ] (yes | no) ]
       [ [ psk = ]  ]
       [ [ rootca = ] " certmap:(yes | no) excludecaname:(yes | no)" ]

  Aggiunge una regola.

Parametri:

  Tag               Valore
  srcaddr          -Indirizzo IP (ipv4 o ipv6), intervallo di indirizzi, 
                    nome DNS o tipo di server di origine.
  dstaddr          -Indirizzo IP (ipv4 o ipv6), intervallo di indirizzi, 
                    nome DNS o tipo di server di destinazione.
  mmpolicy         -Criterio per la modalità principale.
  qmpolicy         -Criterio per la modalità rapida.
  protocol         -Può essere ANY, ICMP, TCP, UDP, RAW o un numero intero.
                    Se si specifica una porta, sarà possibile utilizzare 
                    solo i valori TCP e UDP. 
  srcport          -Porta di origine (se si specifica 0, sarà possibile 
                    utilizzare qualsiasi porta).
  dstport          -Porta di destinazione (se si specifica 0, sarà 
                    possibile utilizzare qualsiasi porta).
  mirrored         -Se è specificato 'Yes', verranno creati due filtri, 
                    uno per ogni direzione.
  conntype         -Tipo di connessione.
  actioninbound    -Azione per i pacchetti in entrata.
  actionoutbound   -Azione per i pacchetti in uscita.
  srcmask          -Maschera dell'indirizzo di origine o prefisso da 1 a 32.
                    Non applicabile se srcaddr è un intervallo. 
  dstmask          -Maschera dell'indirizzo di destinazione o prefisso da 
                    1 a 32. Non applicabile se dstaddr è un intervallo.
  tunneldstaddress -Nome DNS o indirizzo IP di destinazione del tunnel .
  kerberos         -Se è specificato ‘yes', fornisce l'autenticazione
                    kerberos.
  psk              -Fornisce l'autenticazione mediante una chiave già 
                    condivisa specificata.
  rootca           -Fornisce l'autenticazione mediante un certificato
                    radice specificato.
                    Se è specificato certmap:Yes, tenta di eseguire il
                    mapping del certificato. Se è specificato
                    excludecaname:Yes, esclude il nome della CA.

Note:    1. Porta valida per TCP e UDP.
         2. Il tipo di server può essere WINS, DNS, DHCP o GATEWAY.
         3. Il valore predefinito per actioninbound e actionoutbound 
            è 'negotiate'.
         4. Per le regole di tunneling, mirrored deve essere impostato 
            su 'no'.
         5. Le impostazioni relative a certificato, mapping e nome della 
            CA devono essere racchiuse tra virgolette. Le virgolette 
            interne devono essere sostituite da \'.
         6. Il mapping dei certificati è consentito solo per i membri 
             del dominio.
         7. È possibile specificare più certificati ripetendo più volte 
            il parametro rootca.
         8. La preferenza di ogni metodo di autenticazione è determinata
            dall'ordine con cui compare nel comando.
         9. Se non vengono specificati metodi di autenticazione, verranno
            utilizzati valori predefiniti dinamici.
        10. L'esclusione del nome dell'autorità radice impedisce che tale
            nome venga inviato nell'ambito della richiesta di certificato.
        11. Se è specificato un intervallo di indirizzi, gli endpoint 
            dovranno essere indirizzi specifici (non elenchi o subnet) e
            dello stesso tipo (entrambi di tipo v4 o entrambi di tipo v6).

Esempio: add rule srcaddr=192.168.145.110 dstaddr=192.168.145.215 mmpolicy=mmp
         qmpolicy=qmp mirrored=no srcmask=32 dstmask=255.255.255.255
         rootca="C=US,O=MSFT,CN=Microsoft Authenticode(tm) Root Authority"
         rootca="C=US,O=MSFT,CN=\'Microsoft North, South, East, and West Root
         Authority\' certmap:yes excludecaname:no"