Использование: rule srcaddr = (ip | dns | server) dstaddr = (ip | dns | server) protocol = (ANY | ICMP | TCP | UDP | RAW ...

Использование:
  rule [ srcaddr = ] (ip | dns | server)
       [ dstaddr = ] (ip | dns | server)
       [ protocol = ] (ANY | ICMP | TCP | UDP | RAW | <целое>)
       [ srcport = ] <порт> ]
       [ dstport = ] <порт>
       [ mirrored = ] (yes | no)
       [ conntype = ] (lan | dialup | all)
       [ [ srcmask = ] (mask | prefix) ]
       [ [ dstmask = ] (mask | prefix) ]
       [ [ tunneldstaddress = ] (ip | dns) ]
       [ [ mmpolicy = ] <строка> ]
       [ [ qmpolicy = ] <строка> ]
       [ [ actioninbound = ] (permit | block | negotiate) ]
       [ [ actioninbound = ] (permit | block | negotiate) ]
       [ [ kerberos = ] (yes | no) ]
       [ [ psk = ] <предварительный_ключ> ]
       [ [ rootca = ] "<сертификат> certmap:(yes | no)
                       excludecaname:(yes | no)" ]

  Изменение правил и связанных фильтров в SPD.

Параметры:

  Тег               Значение
  srcaddr          -исходный IP-адрес (ipv4 или ipv6),диапазон адресов,
                    DNS-имя или сервер.
  dstaddr          -исходный IP-адрес (ipv4 или ipv6), диапазон адресов,
                    DNS-имя или сервер.
  protocol         -целое число или один из протоколов: ANY, ICMP, TCP, UDP,
                    RAW.
  srcport          -исходный порт пакета. Значение 0 означает ANY (любой).
  dstport          -конечный порт (0 - любой)
  mirrored        - при значении "yes" создаются два фильтра, по одному для
                    каждого направления.
  conntype         -тип подключения
  srcmask          -маска исходного адреса или префикс от 1 до 32.
                    Не используется, если "srcaddr" задан как диапазон.
  dstmask          -маска исходного адреса или префикс от 1 до 32.
                    Не используется, если "dstaddr" задан как диапазон.
  tunnel           -IP-адрес или DNS-имя туннеля.
  mmpolicy         -политика основного режима
  qmpolicy         -политика быстрого режима
  actioninbound    -действия с входящими пакетами
  actionoutbound    -действия с исходящими пакетами
  kerberos         -включение проверки подлинности Kerberos, если задано 
                    значение "yes"
  psk              -проверка подлинности с использованием предварительного
                    ключа
  rootca           -проверка подлинности с использованием указанного корневого
                    сертификата. Если задан параметр certmap:Yes, будет
                    предпринята попытка сопоставления сертификата;
                    если задан параметр excludecaname: Yes, имя ЦС будет
                    исключено.

Примечание: 1. Значения можно подставлять вместо mmpolicy, qmpolicy,
               actioninbound, actionoutbound и authmethods; другие поля
               являются идентификаторами.
            2. Параметр Server может иметь значения WINS, DNS, DHCP или
               GATEWAY.
            3. Параметры сертификата, сопоставления и имени ЦС должны
               задаваться в кавычках, перед кавычками в тексте следует ставить
               "\".
            4. Сопоставление сертификата действительно только для членов
               домена.
            5. Несколько сертификатов можно предоставить многократным 
               использованием параметра ".
            6. Предпочтения каждого из методов проверки подлинности
               определяются их порядком в команде.
            7. Если ни один из методов проверки подлинности не указан, то
               используются динамические значения по умолчанию.
            8. Все методы проверки подлинности перезаписываются в указанный
               список.
            9. Исключение имени корневого центра сертификации (ЦС) позволяет
               не передавать его как часть запроса сертификата.
           10. Если задан диапазон адресов, то в качестве конечных точек должны
               использоваться определенные адреса (не списки и не подсеть)
               того же типа (либо v4, либо v6).

Примеры: 1. set rule srca=WINS dsta=0.0.0.0 srcmask=32 dstmask=32
             tunneldst=192.168.145.1
             proto=tcp srcport=80 dstport=80 mir=no con=lan
             qmp=qmp actionin=negotiate actionout=permit
          2. set rule srcaddr=192.168.145.110 dstaddr=192.168.145.215
             mmpolicy=mmp qmpolicy=qmp mirrored=no srcmask=32
             rootca="C=US,O=MSFT,CN=Microsoft Authenticode(tm) Root Authority"
             rootca="C=US,O=MSFT,CN=\'Microsoft North, South, East, and West
             Root Authority\' certmap:yes excludecaname:no"

Использование:
  rule [ srcaddr = ] (ip | dns | server)
       [ dstaddr = ] (ip | dns | server)
       [ protocol = ] (ANY | ICMP | TCP | UDP | RAW | <целое>)
       [ srcport = ] <порт> ]
       [ dstport = ] <порт>
       [ mirrored = ] (yes | no)
       [ conntype = ] (lan | dialup | all)
       [ [ srcmask = ] (mask | prefix) ]
       [ [ dstmask = ] (mask | prefix) ]
       [ [ tunneldstaddress = ] (ip | dns) ]
       [ [ mmpolicy = ] <строка> ]
       [ [ qmpolicy = ] <строка> ]
       [ [ actioninbound = ] (permit | block | negotiate) ]
       [ [ actioninbound = ] (permit | block | negotiate) ]
       [ [ kerberos = ] (yes | no) ]
       [ [ psk = ] <предварительный_ключ> ]
       [ [ rootca = ] "<сертификат> certmap:(yes | no)
                       excludecaname:(yes | no)" ]

  Изменение правил и связанных фильтров в SPD.

Параметры:

  Тег               Значение
  srcaddr          -исходный IP-адрес (ipv4 или ipv6),диапазон адресов,
                    DNS-имя или сервер.
  dstaddr          -исходный IP-адрес (ipv4 или ipv6), диапазон адресов,
                    DNS-имя или сервер.
  protocol         -целое число или один из протоколов: ANY, ICMP, TCP, UDP,
                    RAW.
  srcport          -исходный порт пакета. Значение 0 означает ANY (любой).
  dstport          -конечный порт (0 - любой)
  mirrored        - при значении "yes" создаются два фильтра, по одному для
                    каждого направления.
  conntype         -тип подключения
  srcmask          -маска исходного адреса или префикс от 1 до 32.
                    Не используется, если "srcaddr" задан как диапазон.
  dstmask          -маска исходного адреса или префикс от 1 до 32.
                    Не используется, если "dstaddr" задан как диапазон.
  tunnel           -IP-адрес или DNS-имя туннеля.
  mmpolicy         -политика основного режима
  qmpolicy         -политика быстрого режима
  actioninbound    -действия с входящими пакетами
  actionoutbound    -действия с исходящими пакетами
  kerberos         -включение проверки подлинности Kerberos, если задано 
                    значение "yes"
  psk              -проверка подлинности с использованием предварительного
                    ключа
  rootca           -проверка подлинности с использованием указанного корневого
                    сертификата. Если задан параметр certmap:Yes, будет
                    предпринята попытка сопоставления сертификата;
                    если задан параметр excludecaname: Yes, имя ЦС будет
                    исключено.

Примечание: 1. Значения можно подставлять вместо mmpolicy, qmpolicy,
               actioninbound, actionoutbound и authmethods; другие поля
               являются идентификаторами.
            2. Параметр Server может иметь значения WINS, DNS, DHCP или
               GATEWAY.
            3. Параметры сертификата, сопоставления и имени ЦС должны
               задаваться в кавычках, перед кавычками в тексте следует ставить
               "\".
            4. Сопоставление сертификата действительно только для членов домена.
            5. Несколько сертификатов можно предоставить многократным 
               использованием параметра ".
            6. Предпочтения каждого из методов проверки подлинности
               определяются их порядком в команде.
            7. Если ни один из методов проверки подлинности не указан, то
               используются динамические умолчания.
            8. Все методы проверки подлинности перезаписываются в указанный
               список.
            9. Исключение имени корневого центра сертификации (ЦС) позволяет
               не передавать его как часть запроса сертификата.
           10. Если задан диапазон адресов, то в качестве конечных точек должны
               использоваться определенные адреса (не списки и не подсеть)
               того же типа (либо v4, либо v6).

Примеры: 1. set rule srca=WINS dsta=0.0.0.0 srcmask=32 dstmask=32
             tunneldst=192.168.145.1
             proto=tcp srcport=80 dstport=80 mir=no con=lan
             qmp=qmp actionin=negotiate actionout=permit
          2. set rule srcaddr=192.168.145.110 dstaddr=192.168.145.215
             mmpolicy=mmp qmpolicy=qmp mirrored=no srcmask=32
             rootca="C=US,O=MSFT,CN=Microsoft Authenticode(tm) Root Authority"
             rootca="C=US,O=MSFT,CN=\'Microsoft North, South, East, and West
             Root Authority\' certmap:yes excludecaname:no"