Использование:
rule [ srcaddr = ] (ip | dns | server)
[ dstaddr = ] (ip | dns | server)
[ protocol = ] (ANY | ICMP | TCP | UDP | RAW | <целое>)
[ srcport = ] <порт> ]
[ dstport = ] <порт>
[ mirrored = ] (yes | no)
[ conntype = ] (lan | dialup | all)
[ [ srcmask = ] (mask | prefix) ]
[ [ dstmask = ] (mask | prefix) ]
[ [ tunneldstaddress = ] (ip | dns) ]
[ [ mmpolicy = ] <строка> ]
[ [ qmpolicy = ] <строка> ]
[ [ actioninbound = ] (permit | block | negotiate) ]
[ [ actioninbound = ] (permit | block | negotiate) ]
[ [ kerberos = ] (yes | no) ]
[ [ psk = ] <предварительный_ключ> ]
[ [ rootca = ] "<сертификат> certmap:(yes | no)
excludecaname:(yes | no)" ]
Изменение правил и связанных фильтров в SPD.
Параметры:
Тег Значение
srcaddr -исходный IP-адрес (ipv4 или ipv6),диапазон адресов,
DNS-имя или сервер.
dstaddr -исходный IP-адрес (ipv4 или ipv6), диапазон адресов,
DNS-имя или сервер.
protocol -целое число или один из протоколов: ANY, ICMP, TCP, UDP,
RAW.
srcport -исходный порт пакета. Значение 0 означает ANY (любой).
dstport -конечный порт (0 - любой)
mirrored - при значении "yes" создаются два фильтра, по одному для
каждого направления.
conntype -тип подключения
srcmask -маска исходного адреса или префикс от 1 до 32.
Не используется, если "srcaddr" задан как диапазон.
dstmask -маска исходного адреса или префикс от 1 до 32.
Не используется, если "dstaddr" задан как диапазон.
tunnel -IP-адрес или DNS-имя туннеля.
mmpolicy -политика основного режима
qmpolicy -политика быстрого режима
actioninbound -действия с входящими пакетами
actionoutbound -действия с исходящими пакетами
kerberos -включение проверки подлинности Kerberos, если задано
значение "yes"
psk -проверка подлинности с использованием предварительного
ключа
rootca -проверка подлинности с использованием указанного корневого
сертификата. Если задан параметр certmap:Yes, будет
предпринята попытка сопоставления сертификата;
если задан параметр excludecaname: Yes, имя ЦС будет
исключено.
Примечание: 1. Значения можно подставлять вместо mmpolicy, qmpolicy,
actioninbound, actionoutbound и authmethods; другие поля
являются идентификаторами.
2. Параметр Server может иметь значения WINS, DNS, DHCP или
GATEWAY.
3. Параметры сертификата, сопоставления и имени ЦС должны
задаваться в кавычках, перед кавычками в тексте следует ставить
"\".
4. Сопоставление сертификата действительно только для членов
домена.
5. Несколько сертификатов можно предоставить многократным
использованием параметра ".
6. Предпочтения каждого из методов проверки подлинности
определяются их порядком в команде.
7. Если ни один из методов проверки подлинности не указан, то
используются динамические значения по умолчанию.
8. Все методы проверки подлинности перезаписываются в указанный
список.
9. Исключение имени корневого центра сертификации (ЦС) позволяет
не передавать его как часть запроса сертификата.
10. Если задан диапазон адресов, то в качестве конечных точек должны
использоваться определенные адреса (не списки и не подсеть)
того же типа (либо v4, либо v6).
Примеры: 1. set rule srca=WINS dsta=0.0.0.0 srcmask=32 dstmask=32
tunneldst=192.168.145.1
proto=tcp srcport=80 dstport=80 mir=no con=lan
qmp=qmp actionin=negotiate actionout=permit
2. set rule srcaddr=192.168.145.110 dstaddr=192.168.145.215
mmpolicy=mmp qmpolicy=qmp mirrored=no srcmask=32
rootca="C=US,O=MSFT,CN=Microsoft Authenticode(tm) Root Authority"
rootca="C=US,O=MSFT,CN=\'Microsoft North, South, East, and West
Root Authority\' certmap:yes excludecaname:no"
Использование:
rule [ srcaddr = ] (ip | dns | server)
[ dstaddr = ] (ip | dns | server)
[ protocol = ] (ANY | ICMP | TCP | UDP | RAW | <целое>)
[ srcport = ] <порт> ]
[ dstport = ] <порт>
[ mirrored = ] (yes | no)
[ conntype = ] (lan | dialup | all)
[ [ srcmask = ] (mask | prefix) ]
[ [ dstmask = ] (mask | prefix) ]
[ [ tunneldstaddress = ] (ip | dns) ]
[ [ mmpolicy = ] <строка> ]
[ [ qmpolicy = ] <строка> ]
[ [ actioninbound = ] (permit | block | negotiate) ]
[ [ actioninbound = ] (permit | block | negotiate) ]
[ [ kerberos = ] (yes | no) ]
[ [ psk = ] <предварительный_ключ> ]
[ [ rootca = ] "<сертификат> certmap:(yes | no)
excludecaname:(yes | no)" ]
Изменение правил и связанных фильтров в SPD.
Параметры:
Тег Значение
srcaddr -исходный IP-адрес (ipv4 или ipv6),диапазон адресов,
DNS-имя или сервер.
dstaddr -исходный IP-адрес (ipv4 или ipv6), диапазон адресов,
DNS-имя или сервер.
protocol -целое число или один из протоколов: ANY, ICMP, TCP, UDP,
RAW.
srcport -исходный порт пакета. Значение 0 означает ANY (любой).
dstport -конечный порт (0 - любой)
mirrored - при значении "yes" создаются два фильтра, по одному для
каждого направления.
conntype -тип подключения
srcmask -маска исходного адреса или префикс от 1 до 32.
Не используется, если "srcaddr" задан как диапазон.
dstmask -маска исходного адреса или префикс от 1 до 32.
Не используется, если "dstaddr" задан как диапазон.
tunnel -IP-адрес или DNS-имя туннеля.
mmpolicy -политика основного режима
qmpolicy -политика быстрого режима
actioninbound -действия с входящими пакетами
actionoutbound -действия с исходящими пакетами
kerberos -включение проверки подлинности Kerberos, если задано
значение "yes"
psk -проверка подлинности с использованием предварительного
ключа
rootca -проверка подлинности с использованием указанного корневого
сертификата. Если задан параметр certmap:Yes, будет
предпринята попытка сопоставления сертификата;
если задан параметр excludecaname: Yes, имя ЦС будет
исключено.
Примечание: 1. Значения можно подставлять вместо mmpolicy, qmpolicy,
actioninbound, actionoutbound и authmethods; другие поля
являются идентификаторами.
2. Параметр Server может иметь значения WINS, DNS, DHCP или
GATEWAY.
3. Параметры сертификата, сопоставления и имени ЦС должны
задаваться в кавычках, перед кавычками в тексте следует ставить
"\".
4. Сопоставление сертификата действительно только для членов домена.
5. Несколько сертификатов можно предоставить многократным
использованием параметра ".
6. Предпочтения каждого из методов проверки подлинности
определяются их порядком в команде.
7. Если ни один из методов проверки подлинности не указан, то
используются динамические умолчания.
8. Все методы проверки подлинности перезаписываются в указанный
список.
9. Исключение имени корневого центра сертификации (ЦС) позволяет
не передавать его как часть запроса сертификата.
10. Если задан диапазон адресов, то в качестве конечных точек должны
использоваться определенные адреса (не списки и не подсеть)
того же типа (либо v4, либо v6).
Примеры: 1. set rule srca=WINS dsta=0.0.0.0 srcmask=32 dstmask=32
tunneldst=192.168.145.1
proto=tcp srcport=80 dstport=80 mir=no con=lan
qmp=qmp actionin=negotiate actionout=permit
2. set rule srcaddr=192.168.145.110 dstaddr=192.168.145.215
mmpolicy=mmp qmpolicy=qmp mirrored=no srcmask=32
rootca="C=US,O=MSFT,CN=Microsoft Authenticode(tm) Root Authority"
rootca="C=US,O=MSFT,CN=\'Microsoft North, South, East, and West
Root Authority\' certmap:yes excludecaname:no"
Использование: rule name = policy = filterlist = filteraction = tunnel = (ip | dns) conntype = (lan | dialup | all) activate ...
Использование: rule name = | id = | all policy = Удаление правила из политики. Параметры: Tag Значение name | id | all -имя ...
Использование: rule name = | id = | all | default policy = type = (tunnel | tranport) level = (verbose | normal) format = ...
Использование: rule name = | id = | policy = newname = description = filterlist = filteraction = tunnel = (ip | dns) conntype ...
Использование: rule srcaddr = (ip | dns | server) dstaddr = (ip | dns | server) protocol = (ANY | ICMP | TCP | UDP | RAW ...
Использование: rule srcaddr = (ipv4 | ipv6 | ipv4-ipv4 | ipv6-ipv6 | dns | server) dstaddr = (ipv4 | ipv6 | ipv4-ipv4 | ipv6-ipv6 ...
Использование: rule srcaddr = (ipv4 | ipv6 | ipv4-ipv4 | ipv6-ipv6 | dns | server) dstaddr = (ipv4 | ipv6 | ipv4-ipv4 | ipv6-ipv6 ...
Использование: rule type = (transport | tunnel) srcaddr = (ipv4 | ipv6 | ipv4-ipv4 | ipv6-ipv6 | dns | server) dstaddr = ...
Использование: SELECT Отображает или изменяет выбранный объект. Тип выбираемого объекта. Допустимо одно из следующих значений: ...