Syntax: rule srcaddr = (ip | dns | server) dstaddr = (ip | dns | server) protocol = (ANY | ICMP | TCP | UDP | RAW | ) srcport ...

Syntax:
  rule [ srcaddr = ] (ip | dns | server)
       [ dstaddr = ] (ip | dns | server)
       [ protocol = ] (ANY | ICMP | TCP | UDP | RAW | )
       [ srcport = ] 
       [ dstport = ] 
       [ mirrored = ] (yes | no)
       [ conntype = ] (lan | dialup | all)
       [ [ srcmask = ] (Maske | Präfix) ]
       [ [ dstmask = ] (Maske | Präfix) ]
       [ [ tunneldstaddress = ] (ip | dns) ]
       [ [ mmpolicy = ]  ]
       [ [ qmpolicy = ]  ]
       [ [ actioninbound = ] (permit | block | negotiate) ]
       [ [ actionoutbound = ] (permit | block | negotiate) ]
       [ [ kerberos = ] (yes | no) ]
       [ [ psk = ]  ]
       [ [ rootca = ] " certmap:(yes | no)
       excludecaname:(yes | no)" ]

  Ändert eine Regel und assoziierte Filter in SPD.

Parameter:

  Tag               Wert
  srcaddr          -Quell-IP-Adresse (IPv4 oder IPv6), -adressbereich,
                    -DNS-Name oder -servertyp.
  dstaddr          -Ziel-IP-Adresse (IPv4 oder IPv6), -adressbereich,
                    -DNS-Name oder -servertyp.
  protocol         -ANY ICMP TCP UDP oder RAW oder eine ganze Zahl.
  srcport          -Quellport(0 bedeutet BELIEBIG)
  dstport          -Zielport(0 bedeutet BELIEBIG)
  mirrored         -Durch "Yes" werden zwei Filter erstellt (ein Filter für
                    jede Richtung.)
  conntype         -Verbindungstyp.
  srcmask          -Quelladressmaske oder ein Präfix zwischen 1 und 32. Nicht
                    zutreffend, falls ein Bereich für "srcaddr" festgelegt
                    wurde.
  dstmask          -Zieladressmaske oder ein Präfix zwischen 1 und 32. Nicht
                    zutreffend, falls ein Bereich für "dstaddr" festgelegt
                    wurde.
  tunneldstaddress -Tunnelziel-IP-Adresse oder -DNS-Name.
  mmpolicy         -Hauptmodusrichtlinie
  qmpolicy         -Schnellmodusrichtlinie
  actioninbound    -Aktion für eingehende Pakete.
  actionoutbound   -Aktion für ausgehende Pakete.
  kerberos         -Bietet Kerberos-Authentifizierung bei Angabe von "yes".
  psk              -Bietet Kerberos-Authentifizierung durch Angabe eines
                    vordefinierten Schlüssels.
  rootca           -Bietet Authentifizierung mit einem angegebenen
                    Stammzertifikat. Bei certmap:Yes wird versucht, das
                    Zertifikat zuzuordnen. Bei excludecaname:Yes wird der
                    Zertifizierungsstellenname ausgelassen.

Anmerkungen: 1. Mmpolicy, qmpolicy, actioninbound,actionoutbound und
                authmethods können gesetzt werden. Die anderen Felder sind
                Kennungen.
             2. Servertyp kann WINS, DNS, DHCP oder Gateway sein.
             3. Zertifikat, Zuordnung und Zertifizierungsstellenname
                müssen in Anführungszeichen angegeben werden. Eingebettete
                Anführungszeichen müssen mit \' ersetzt werden.
             4. Zertifikatzuordnung kann nur für Domänenmitglieder
                verwendet werden.
             5. Mehrere Zertifikate können durch Angabe mehrere rootca-
                Parameter angegeben werden.
             6. Die bevorzugte Authentifizierungsmethode wird durch die
                Reihenfolgenangabe im Befehl bestimmt.
             7. Ohne Angabe von Authentifizierungsmethode werden
                dynamische Standardwerte verwendet.
             8. Alle Authentifizierungsmethoden werden mit der
                angegebenen Liste überschrieben.
             9. Durch Auslassung des Stammzertifizierungsstellen-Namens
                kann der Name nicht als Teil der Authentifizierungs-
                anforderung gesendet werden.
            10. Wenn ein Adressbereich angegeben wurde, müssen die Endpunkte
                festgelegte Adressen (keine Listen oder Subnetze) und vom
                selben Typ (beide v4 oder beide v6) sein.

Beispiele:   1. set rule srca=WINS dsta=0.0.0.0 srcmask=32 dstmask=32
                tunnelsrc=192.168.11.1 tunneldst=192.168.145.1
                proto=tcp srcport=80 dstport=80 mir=no con=lan
                qmp=qmp actionin=negotiate actionout=permit
             2. set rule srcaddr=192.168.145.110 dstaddr=192.168.145.215
                mmpolicy=mmp qmpolicy=qmp mirrored=no srcmask=32
                rootca="C=US,O=MSFT,CN=Microsoft Authenticode(tm)-
                Stammzertifizierungsstelle"
                rootca="C=US,O=MSFT,CN=\'Microsoft Nord-, Süd-, Ost- und
                West-Stammzertifizierungsstelle\' certmap:yes
                excludecaname:no"