Sintassi: add rule name= dir=in|out action=allow|block|bypass program= service= |any description= enable=yes|no (impostazione ...

Sintassi: add rule name=
      dir=in|out
      action=allow|block|bypass
      [program=]
      [service=|any]
      [description=]
      [enable=yes|no (impostazione predefinita=yes)]
      [profile=public|private|domain|any[,...]]
      [localip=any|||||]
      [remoteip=any|localsubnet|dns|dhcp|wins|defaultgateway|
         ||||]
      [localport=0-65535|[,...]|RPC|RPC-EPMap|IPHTTPS|any (impostazione predefinita=any)]
      [remoteport=0-65535|[,...]|any (impostazione predefinita=any)]
      [protocol=0-255|icmpv4|icmpv6|icmpv4:type,code|icmpv6:type,code|
         tcp|udp|any (impostazione predefinita=any)]
      [interfacetype=wireless|lan|ras|any]
      [rmtcomputergrp=]
      [rmtusrgrp=]
      [edge=yes|deferapp|deferuser|no (impostazione predefinita=no)]
      [security=authenticate|authenc|authdynenc|authnoencap|notrequired
         (impostazione predefinita=notrequired)]

Note:

      - Aggiunge ai criteri firewall una nuova regola per il traffico
        in entrata o in uscita.
      - La regola deve essere univoca e non può essere "all".
      - Se è specificato un gruppo di utenti o un computer remoto,
        il parametro security deve essere impostato su
        authenticate, authenc, authdynenc o authnoencap.
      - L'impostazione di security su authdynenc consente ai sistemi di
        negoziare in modo dinamico l'uso della crittografia per il traffico
        che soddisfa una determinata regola di Windows Firewall.
        La crittografia viene negoziata in base alle proprietà delle regole di
        sicurezza di connessione esistenti. Questa opzione consente a un
        computer di accettare il primo pacchetto TCP o UDP di una connessione
        IPsec in entrata purché protetto, ma non crittografato, tramite IPsec.
        Dopo l'elaborazione del primo pacchetto, il server rinegozierà la
        connessione e la aggiornerà in modo che tutte le comunicazioni
        successive siano completamente crittografate.
      - Se action=bypass, il gruppo di computer remoti deve essere specificato
        quando dir=in.
      - Se service=any, la regola viene applicata solo ai servizi.
      - Il tipo o il codice ICMP può essere "any".
      - Il confine può essere specificato solo per le regole relative al
        traffico in entrata.
      - AuthEnc e authnoencap non possono essere utilizzati insieme.
      - Authdynenc è valido solo quando dir=in.
      - Quando si imposta authnoencap, l'opzione security=authenticate diventa
        un parametro facoltativo.

Esempi:

      Il comando seguente aggiunge una regola per il traffico in entrata
      senza sicurezza di incapsulamento per browser.exe:
      netsh advfirewall firewall add rule name="allow browser"
      dir=in program="c:\programfiles\browser\browser.exe"
      security=authnoencap action=allow

      Il comando seguente aggiunge una regola per il traffico
      in uscita per la porta 80:
      netsh advfirewall firewall add rule name="allow80"
      protocol=TCP dir=out localport=80 action=block

      Il comando seguente aggiunge una regola per il traffico
      in entrata che richiede sicurezza e crittografia
      per il traffico TCP sulla porta 80:
      netsh advfirewall firewall add rule
      name="Require Encryption for Inbound TCP/80"
      protocol=TCP dir=in localport=80 security=authdynenc
      action=allow

      Il comando seguente aggiunge una regola per il traffico in entrata per browser.exe
      e richiede l'applicazione della sicurezza
      netsh advfirewall firewall add rule name="allow browser"
      dir=in program="c:\program files\browser\browser.exe"
      security=authenticate action=allow

      Il comando seguente aggiunge una regola di esclusione
      per un firewall con autenticazione per il gruppo
      acmedomain\scanners identificato da una stringa SDDL:
      netsh advfirewall firewall add rule name="allow scanners"
      dir=in rmtcomputergrp= action=bypass
      security=authenticate

      Il comando seguente aggiunge una regola che consente
      il traffico in uscita per le porte locali 5000-5010 per udp-
     Add rule name="Allow port range" dir=out protocol=udp localport=5000-5010
     action=allow