租号玩代理申请
A-A+

Windows 2003/Win7/Win8/Win10以及Server 2008/2012/2016使用netsh IPSec命令解释

2020年11月25日 问题教程 暂无评论 阅读 208 次

Windows server 2003以上的操作系统直接就是netsh IPSEC命令,XP系统用ipseccmd,2000下用ipsecpol,常用的参数如下:

参数如下:
-w reg 表明将配置写入注册表,重启后仍有效。
 -p 指定策略名称,如果名称存在,则将该规则加入此策略,否则创建一个。
 -r 指定规则名称。
 -n 指定操作,可以是BLOCK、PASS或者INPASS,必须大写。
 -x 激活该策略。
 -y 使之无效。
 -o 删除-p指定的策略。
 其中最关键的是-f。它用来设置你的过滤规则,格式为
 A.B.C.Dmaskport=A.B.C.Dmaskportprotocol。其中=前面的是源地址,后面是目的地址。如果使用+,则表明此规则是双向的。IP地址中用*代表任何IP地址,0代表我自己的IP地址。还可以使用通配符,比如144.92.. 等效于 144.92.0.0255.255.0.0。使用ipseccmd 可以获得它的帮助。
 如果希望将规则删除,需要先使用-y使之无效,否则删除后它还会持续一段时间。

文件名称 my_ipsec_2003.bat(创建安全策略)

rem 添加安全策略名称
netsh ipsec static add policy name=我的安全策略
rem 添加 IP筛选器列表
netsh ipsec static add filterlist name=允许列表
netsh ipsec static add filterlist name=拒绝列表

rem 添加筛选器到IP筛选器列表(允许上网成功)
netsh ipsec static add filter filterlist=允许列表  srcaddr=me dstaddr=any description=web访问 protocol=tcp mirrored=yes dstport=80
netsh ipsec static add filter filterlist=允许列表  srcaddr=me dstaddr=any description=dns访问 protocol=tcp mirrored=yes dstport=53
netsh ipsec static add filter filterlist=允许列表  srcaddr=me dstaddr=any description=dns访问 protocol=udp mirrored=yes dstport=53
rem 共享别机打印成功
 netsh ipsec static add filter filterlist=允许列表  srcaddr=me dstaddr=200.200.200.77 description=打印 protocol=tcp mirrored=yes dstport=139
 netsh ipsec static add filter filterlist=允许列表  srcaddr=me dstaddr=200.200.200.77 description=打印 protocol=udp mirrored=yes dstport=138
 netsh ipsec static add filter filterlist=允许列表  srcaddr=me dstaddr=200.200.200.77 description=打印 protocol=udp mirrored=yes dstport=137
 netsh ipsec static add filter filterlist=允许列表  srcaddr=me dstaddr=200.200.200.77 description=打印 protocol=tcp mirrored=yes dstport=445
rem 服务器
 netsh ipsec static add filter filterlist=允许列表  srcaddr=me dstaddr=200.200.200.201 description=服务器 protocol=tcp mirrored=yes dstport=139
  netsh ipsec static add filter filterlist=允许列表  srcaddr=me dstaddr=200.200.200.201 description=服务器 protocol=udp mirrored=yes dstport=138
  netsh ipsec static add filter filterlist=允许列表  srcaddr=me dstaddr=200.200.200.201 description=服务器 protocol=udp mirrored=yes dstport=137
  netsh ipsec static add filter filterlist=允许列表  srcaddr=me dstaddr=200.200.200.201 description=服务器 protocol=tcp mirrored=yes dstport=445
 netsh ipsec static add filter filterlist=允许列表  srcaddr=me dstaddr=200.200.200.203 description=服务器 protocol=tcp mirrored=yes dstport=139
 netsh ipsec static add filter filterlist=允许列表  srcaddr=me dstaddr=200.200.200.203 description=服务器 protocol=udp mirrored=yes dstport=138
 netsh ipsec static add filter filterlist=允许列表  srcaddr=me dstaddr=200.200.200.203 description=服务器 protocol=udp mirrored=yes dstport=137
 netsh ipsec static add filter filterlist=允许列表  srcaddr=me dstaddr=200.200.200.203 description=服务器 protocol=tcp mirrored=yes dstport=445
  netsh ipsec static add filter filterlist=允许列表  srcaddr=me dstaddr=200.200.200.202 description=服务器 protocol=tcp mirrored=yes dstport=139
 netsh ipsec static add filter filterlist=允许列表  srcaddr=me dstaddr=200.200.200.202 description=服务器 protocol=udp mirrored=yes dstport=138
 netsh ipsec static add filter filterlist=允许列表  srcaddr=me dstaddr=200.200.200.202 description=服务器 protocol=udp mirrored=yes dstport=137
 netsh ipsec static add filter filterlist=允许列表  srcaddr=me dstaddr=200.200.200.202 description=服务器 protocol=tcp mirrored=yes dstport=445
 netsh ipsec static add filter filterlist=允许列表  srcaddr=me dstaddr=200.200.200.105 description=服务器 protocol=tcp mirrored=yes dstport=139
 netsh ipsec static add filter filterlist=允许列表  srcaddr=me dstaddr=200.200.200.105 description=服务器 protocol=udp mirrored=yes dstport=138
 netsh ipsec static add filter filterlist=允许列表  srcaddr=me dstaddr=200.200.200.105 description=服务器 protocol=udp mirrored=yes dstport=137
 netsh ipsec static add filter filterlist=允许列表  srcaddr=me dstaddr=200.200.200.105 description=服务器 protocol=tcp mirrored=yes dstport=445
 netsh ipsec static add filter filterlist=允许列表  srcaddr=me dstaddr=200.200.200.88 description=服务器 protocol=tcp mirrored=yes dstport=139
 netsh ipsec static add filter filterlist=允许列表  srcaddr=me dstaddr=200.200.200.88 description=服务器 protocol=udp mirrored=yes dstport=138
 netsh ipsec static add filter filterlist=允许列表  srcaddr=me dstaddr=200.200.200.88 description=服务器 protocol=udp mirrored=yes dstport=137
 netsh ipsec static add filter filterlist=允许列表  srcaddr=me dstaddr=200.200.200.88 description=服务器 protocol=tcp mirrored=yes dstport=445

 netsh ipsec static add filter filterlist=允许列表  srcaddr=me dstaddr=200.200.200.155 description=服务器 protocol=tcp mirrored=yes dstport=139
 netsh ipsec static add filter filterlist=允许列表  srcaddr=me dstaddr=200.200.200.155 description=服务器 protocol=udp mirrored=yes dstport=138
 netsh ipsec static add filter filterlist=允许列表  srcaddr=me dstaddr=200.200.200.155 description=服务器 protocol=udp mirrored=yes dstport=137
 netsh ipsec static add filter filterlist=允许列表  srcaddr=me dstaddr=200.200.200.155 description=服务器 protocol=tcp mirrored=yes dstport=445
 netsh ipsec static add filter filterlist=允许列表  srcaddr=me dstaddr=200.200.200.155 description=服务器 protocol=udp mirrored=yes dstport=445

  netsh ipsec static add filter filterlist=允许列表  srcaddr=me dstaddr=any description=ping访问 protocol=ICMP mirrored=yes
 
 netsh ipsec static add filter filterlist=允许列表  srcaddr=me dstaddr=any description=sybase访问 protocol=tcp mirrored=yes dstport=5000
 netsh ipsec static add filter filterlist=允许列表  srcaddr=me dstaddr=any description=dameware protocol=tcp mirrored=yes dstport=6129
 netsh ipsec static add filter filterlist=允许列表  srcaddr=any dstaddr=me description=remotelyanywhere protocol=tcp mirrored=yes dstport=2000
 netsh ipsec static add filter filterlist=允许列表  srcaddr=me dstaddr=any description=pcanywhere protocol=tcp mirrored=yes dstport=5631
 netsh ipsec static add filter filterlist=允许列表  srcaddr=me dstaddr=any description=pcanywhere protocol=udp mirrored=yes dstport=5632

rem 添加筛选器到IP筛选器列表(不让别人访问)
 netsh ipsec static add filter filterlist=拒绝列表  srcaddr=any dstaddr=me description=别人any到我me任何访问 protocol=any mirrored=yes
 netsh ipsec static add filter filterlist=拒绝列表  srcaddr=me dstaddr=any description=我到任何访问 protocol=any mirrored=yes

rem 添加筛选器操作
netsh ipsec static add filteraction name=可以  action=permit
netsh ipsec static add filteraction name=不可以  action=block
rem 创建一个链接指定 IPSec 策略、筛选器列表和筛选器操作的规则(加入规则到我的安全策略)
netsh ipsec static add rule name=允许规则  policy=我的安全策略 filterlist=允许列表 filteraction=可以
netsh ipsec static add rule name=拒绝规则  policy=我的安全策略 filterlist=拒绝列表 filteraction=不可以

rem 激活我的安全策略
netsh ipsec static set policy name=我的安全策略 assign=y

rem 总结一下,策略policy(规则rule(筛选器列表filterlist(筛选器filter))—筛选器操作filteraction)
rem netsh ipsec static delete policy name=我的安全策略
rem netsh ipsec static delete policy all
rem netsh ipsec static show policy all
rem netsh firewall delete portopening TCP 2000

文件名称 my_ipsec_del.bat(删除安全策略)

netsh ipsec static delete policy name=我的安全策略
rem netsh ipsec static delete policy all

下面资料来自死性不改论坛的“Bluefish”,用来屏蔽0.253的规则示例

netsh ipsec static add policy name=dlist
netsh ipsec static add filterlist name=dlist
netsh ipsec static add filter filterlist=dlist srcaddr=192.168.0.253 dstaddr=Me
netsh ipsec static add filter filterlist=dlist srcaddr=Me dstaddr=192.168.0.253
netsh ipsec static add filteraction name=dlist action=block
netsh ipsec static add rule name=dlist policy=dlist filterlist=dlist filteraction=dlist
netsh ipsec static set policy name=dlist assign=y
ren c:\windows\SysWOW64\netsh.exe ipsec.exe