Использование:
rule [ srcaddr = ] (ipv4 | ipv6 | ipv4-ipv4 | ipv6-ipv6 | dns | server)
[ dstaddr = ] (ipv4 | ipv6 | ipv4-ipv4 | ipv6-ipv6 | dns | server)
[ mmpolicy = ] <строка> ]
[ [ qmpolicy = ] <строка> ]
[ [ protocol = ] (ANY | ICMP | TCP | UDP | RAW | <целое>) ]
[ [ srcport = ] <порт> ]
[ [ dstport = ] <порт> ]
[ [ mirrored = ] (yes | no) ]
[ [ conntype = ] (lan | dialup | all) ]
[ [ actioninbound = ] (permit | block | negotiate) ]
[ [ actioninbound = ] (permit | block | negotiate) ]
[ [ srcmask = ] (mask | prefix) ]
[ [ dstmask = ] (mask | prefix) ]
[ [ tunneldstaddress = ] (ip | dns) ]
[ [ kerberos = ] (yes | no) ]
[ [ psk = ] <предварительный_ключ> ]
[ [ rootca = ] "<сертификат> certmap:(yes | no)
excludecaname:(yes | no)" ]
Добавление правила.
Параметры:
Тег Значение
srcaddr -исходный IP-адрес (ipv4 или ipv6),диапазон адресов,
DNS-имя или сервер.
dstaddr -исходный IP-адрес (ipv4 или ipv6), диапазон адресов,
DNS-имя или сервер.
mmpolicy -политика основного режима
qmpolicy -политика быстрого режима
protocol -целое число или один из протоколов: ANY, ICMP, TCP, UDP,
RAW.
Если указан порт, допустимо значение TCP или UDP.
srcport -исходный порт пакета. Значение 0 означает ANY (любой).
dstport -конечный порт (0 - любой)
mirrored - при значении "yes" создаются два фильтра, по одному для
каждого направления.
conntype -тип подключения
actioninbound -действия с входящими пакетами
actionoutbound -действия с исходящими пакетами
srcmask -маска исходного адреса или префикс от 1 до 32.
Не используется, если "srcaddr" задан как диапазон.
dstmask -маска исходного адреса или префикс от 1 до 32.
Не используется, если "dstaddr" задан как диапазон.
tunnel -IP-адрес или DNS-имя туннеля.
kerberos -включение проверки подлинности Kerberos, если задано
значение "yes".
psk -проверка подлинности с использованием предварительного
ключа.
rootca -проверка подлинности с использованием указанного корневого
сертификата, если задан параметр certmap:Yes, будет
предпринята попытка сопоставления сертификата;
если задан параметр excludecaname: Yes, имя ЦС будет
исключено.
Примечания. 1. Порт действителен для TCP и UDP.
2. Параметр Server может иметь значения WINS, DNS, DHCP или
GATEWAY.
3. По умолчанию параметры actionin и actionout используют значение
"negotiate".
4. Для туннеля параметр mirrored должен иметь значение "No".
5. Параметры сертификата, сопоставления и имени ЦС должны
задаваться в кавычках, перед кавычками в тексте следует
ставить "\".
6. Сопоставление сертификата действительно только для членов
домена.
7. Несколько сертификатов можно предоставить многократным
использованием параметра ".
8. Предпочтения каждого из методов проверки подлинности
определяются их порядком в команде.
9. Если ни один из методов проверки подлинности не указан, то
используются динамические значения по умолчанию.
10. Исключение имени корневого центра сертификации (ЦС) позволяет
не передавать его как часть запроса сертификата.
11. Если задан диапазон адресов, то в качестве конечных точек
должны использоваться определенные адреса (не списки и не
подсеть) того же типа (либо v4, либо v6).
Примеры: add rule srcaddr=192.168.145.110 dstaddr=192.168.145.215 mmpolicy=mmp
qmpolicy=qmp mirrored=no srcmask=32 dstmask=255.255.255.255
rootca="C=US,O=MSFT,CN=Microsoft Authenticode(tm) Root Authority"
rootca="C=US,O=MSFT,CN=\'Microsoft North, South, East, and West Root
Authority\' certmap:yes excludecaname:no"
Использование:
rule [ srcaddr = ] (ipv4 | ipv6 | ipv4-ipv4 | ipv6-ipv6 | dns | server)
[ dstaddr = ] (ipv4 | ipv6 | ipv4-ipv4 | ipv6-ipv6 | dns | server)
[ mmpolicy = ] <строка> ]
[ [ qmpolicy = ] <строка> ]
[ [ protocol = ] (ANY | ICMP | TCP | UDP | RAW | <целое>) ]
[ [ srcport = ] <порт> ]
[ [ dstport = ] <порт> ]
[ [ mirrored = ] (yes | no) ]
[ [ conntype = ] (lan | dialup | all) ]
[ [ actioninbound = ] (permit | block | negotiate) ]
[ [ actioninbound = ] (permit | block | negotiate) ]
[ [ srcmask = ] (mask | prefix) ]
[ [ dstmask = ] (mask | prefix) ]
[ [ tunneldstaddress = ] (ip | dns) ]
[ [ kerberos = ] (yes | no) ]
[ [ psk = ] <предварительный_ключ> ]
[ [ rootca = ] "<сертификат> certmap:(yes | no)
excludecaname:(yes | no)" ]
Добавление правила.
Параметры:
Тег Значение
srcaddr -исходный IP-адрес (ipv4 или ipv6),диапазон адресов,
DNS-имя или сервер.
dstaddr -исходный IP-адрес (ipv4 или ipv6), диапазон адресов,
DNS-имя или сервер.
mmpolicy -политика основного режима
qmpolicy -политика быстрого режима
protocol -целое число или один из протоколов: ANY, ICMP, TCP, UDP,
RAW.
Если указан порт, допустимо значение TCP или UDP.
srcport -исходный порт пакета. Значение 0 означает ANY (любой).
dstport -конечный порт (0 - любой)
mirrored - при значении "yes" создаются два фильтра, по одному для
каждого направления.
conntype -тип подключения
actioninbound -действия с входящими пакетами
actionoutbound -действия с исходящими пакетами
srcmask -маска исходного адреса или префикс от 1 до 32.
Не используется, если "srcaddr" задан как диапазон.
dstmask -маска исходного адреса или префикс от 1 до 32.
Не используется, если "dstaddr" задан как диапазон.
tunnel -IP-адрес или DNS-имя туннеля.
kerberos -включение проверки подлинности Kerberos, если задано
значение "yes".
psk -проверка подлинности с использованием предварительного
ключа.
rootca -проверка подлинности с использованием указанного корневого
сертификата, если задан параметр certmap:Yes, будет
предпринята попытка сопоставления сертификата;
если задан параметр excludecaname: Yes, имя ЦС будет
исключено.
Примечания. 1. Порт действителен для TCP и UDP.
2. Параметр Server может иметь значения WINS, DNS, DHCP или
GATEWAY.
3. По умолчанию параметры actionin и actionout используют значение
"negotiate".
4. Для туннеля параметр mirrored должен иметь значение "No".
5. Параметры сертификата, сопоставления и имени ЦС должны
задаваться в кавычках, перед кавычками в тексте следует
ставить "\".
6. Сопоставление сертификата действительно только для членов домена.
7. Несколько сертификатов можно предоставить многократным
использованием параметра ".
8. Предпочтения каждого из методов проверки подлинности
определяются их порядком в команде.
9. Если ни один из методов проверки подлинности не указан, то
используются динамические умолчания.
10. Исключение имени корневого центра сертификации (ЦС) позволяет
не передавать его как часть запроса сертификата.
11. Если задан диапазон адресов, то в качестве конечных точек
должны использоваться определенные адреса (не списки и не
подсеть) того же типа (либо v4, либо v6).
Примеры: add rule srcaddr=192.168.145.110 dstaddr=192.168.145.215 mmpolicy=mmp
qmpolicy=qmp mirrored=no srcmask=32 dstmask=255.255.255.255
rootca="C=US,O=MSFT,CN=Microsoft Authenticode(tm) Root Authority"
rootca="C=US,O=MSFT,CN=\'Microsoft North, South, East, and West Root
Authority\' certmap:yes excludecaname:no"
Использование: rule name = | id = | all | default policy = type = (tunnel | tranport) level = (verbose | normal) format = ...
Использование: rule name = | id = | policy = newname = description = filterlist = filteraction = tunnel = (ip | dns) conntype ...
Использование: rule srcaddr = (ip | dns | server) dstaddr = (ip | dns | server) protocol = (ANY | ICMP | TCP | UDP | RAW ...
Использование: rule srcaddr = (ipv4 | ipv6 | ipv4-ipv4 | ipv6-ipv6 | dns | server) dstaddr = (ipv4 | ipv6 | ipv4-ipv4 | ipv6-ipv6 ...
Использование: rule srcaddr = (ipv4 | ipv6 | ipv4-ipv4 | ipv6-ipv6 | dns | server) dstaddr = (ipv4 | ipv6 | ipv4-ipv4 | ipv6-ipv6 ...
Использование: rule type = (transport | tunnel) srcaddr = (ipv4 | ipv6 | ipv4-ipv4 | ipv6-ipv6 | dns | server) dstaddr = ...
Использование: SELECT Отображает или изменяет выбранный объект. Тип выбираемого объекта. Допустимо одно из следующих значений: ...
Использование: ServerManagerCmd.exe Устанавливает и удаляет роли, службы ролей и компоненты. Также отображает cписок всех ...
Использование: set 0 - 3 | 1 | 0 Если путь к тому не указан, то при выполнении операции обновляется значение реестра: 0 - ...