概要 | |
コマンドで各種ネットワーク設定の設定や変更をするnetshコマンドのオプションの一つ。IPsecを使った通信の暗号化に関する設定,およびIPフィルタの追加・変更・削除ができる。netshのコンテキストとしてipsecは存在するが,このコンテキストで用意されているコマンドは,構成をスクリプトとして出力する「dump」しかない。しかも,筆者が確認したところdumpについても実際には機能しない。このため,dynamicとstaticのサブコンテキストを使って主要な設定をする。ここで紹介するdynamicコンテキストではアクティブなIPsecの構成を直接変更できる。なお,staticコンテキストでは管理ツール「IPセキュリティ・ポリシー」での設定と「IPセキュリティ・モニター」による監視と同等の作業を実行できる。
netsh ipsecのサブコンテキストであるdynamicでは,アクティブなIPsecの状態を表示し,セキュリティ・ポリシー・データベース(SPD)を編集することで,稼働中のIPsecポリシー構成を直接変更できる。ipsec dynamicコンテキストのコマンドによる変更は,IPsecサービスが実行されている間のみ有効で,サービスが停止すると動的ポリシーの設定は破棄される。なお,実施した結果のほとんどは直ちに反映されるが,一部の項目はIPsecサービスもしくはコンピュータ自体を再起動しないと反映されない。 |
netshコマンドのコマンド・モードとコンテキスト | |
バッチ・モード: | |
インタラクティブ・モード: | |
スクリプト・モード: | |
コンテキストとサブコンテキスト:
| |
上位コンテキストから引き継いだコマンド: |
構文 | |
バッチ・モード:
または netsh -c "ipsec dynamic" {set サブコマンド|add サブコマンド|delete サブコマンド|show サブコマンド|dump|help} | |
インタラクティブ・モード:
または netsh -a エイリアス・ファイル名 | |
スクリプト・モード: |
※ [-c "ipsec dynamic"]を指定した場合,インタラクティブ・モード内でのコンテキスト名の指定は不要
利用環境 | |
Windows 95 × Windows 98 × Windows Me × Windows NT 4.0 × Windows 2000 × Windows XP × Windows Server 2003 ○ |
netshのコマンド・オプション | |||||||||||
|
ipsec dynamicコンテキストのコマンド・オプション | |||||||||||||
|
使用例1:特定ポート(HTTP)の着信を拒否するようにIPsecのポリシーを設定する(クリックで詳細表示) | |
netsh ipsec dynamic add rule srcaddr=Any dstaddr=IPアドレス mmpolicy=1 protocol=TCP srcport=0 dstport=80 mirrored=yes conntype=all actioninbound=block actionoutbound=permit |
使用例2:IPsecポリシーが適用されるまでトラフィックをブロックさせる(クリックで詳細表示) | |
netsh ipsec dynamic set config bootmode value=block |