搜索
简帛阁>技术文章>组策略(域组策略)批量建立IPsec中IP筛选列表

组策略(域组策略)批量建立IPsec中IP筛选列表

Windows系统IPsec中的IP筛选列表的功能可以替代windows防火墙,尤其在2003时代更为重要,因为2003防火墙比较薄弱,不能做到出站的限制(win2008已经完善), IP筛选列表可以限制源IP及源端口,也可限制目标IP和目标端口(如图),具体不在这里详说,不是本文重点。

clip_p_w_picpath002

添加IP筛选列表方法是图形化界面比较简单,但是IP筛选列表有个缺点如果限制的端口很多(如图),只能一条一条记录添加,不能一条添加多个端口。

clip_p_w_picpath004

可用netsh ipsec命令进行添加  

Netsh ipsec static add filterlist name=OLDplat_port_in_new

Netsh ipsec static add filter filterlist=OLDplat_port_in_new any srcmask=32 srcport=0 dstaddr=me dstport=993 protocol=tcp

Netsh ipsec static add filter filterlist=OLDplat_port_in_new any srcmask=32 srcport=0 dstaddr=me dstport=994 protocol=tcp

Netsh ipsec static add filter filterlist=OLDplat_port_in_new any srcmask=32 srcport=0 dstaddr=me dstport=995 protocol=tcp

Netsh ipsec static add filter filterlist=OLDplat_port_in_new any srcmask=32 srcport=0 dstaddr=me dstport=996 protocol=tcp

Netsh ipsec static add filter filterlist=OLDplat_port_in_new any srcmask=32 srcport=0 dstaddr=me dstport=1117 protocol=tcp


这样在本地组策略IP筛选列表就方便多了,但是问题又来了,我们公司是在域中用域组策略配置IP筛选列表推到各个域中计算机上,

clip_p_w_picpath006

如何在域策略管理器添加IP筛选列表,在baidu查了好久,终于找到了如下命令

将存储设为域存储

netsh ipsec static set store location=domain domain=beijing.nosvr.com

netsh执行文本

Netsh exec aaa.txt

用第一条命令,将存储设为域存储,用命令查看你会发现,存储还是在本地,所以你必须用到第二条命令。

clip_p_w_picpath008

步骤如下

1.先编辑文本文件,将存储设为域,列表命令写好,如下

clip_p_w_picpath010

2.执行如下命令

C:\Windows\system32>netsh exec c:\tools\ipsec_laoplat_in.txt

clip_p_w_picpath012

大概几十秒后,查看IP筛选列表

clip_p_w_picpath013

参考

http://bbs.winos.cn/viewthread.php?tid=127888

转载于:https://blog.51cto.com/wonitazansa/1214606

Windows系统IPsec中的IP筛选列表的功能可以替代windows防火墙,尤其在2003时代更为重要,因为2003防火墙比较薄弱,不能做到出站的限制(win2008已经完善),IP筛选列表可以限
策略ip筛选"HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\windows\IPSec\Policy\Local\ipsecPolicy{字符}在里
首先提一句:ipsec规则,filteraction为允许的比拒绝的优先级要高,其它的没有顺序关系,经测试验证!参考:http://techtechwebcomcn/thread35496411ht
主讲老师:郭盛华IP过滤技术是一种过滤技术,可将访问和被访问者限制在一个特定范围内。1、在“开始”“运行”输入“secpolmsc”回车即打开“本地安全策略”页面,见图1二、如图1,右键点击“IP安全
IPSec作为主流IP安全协议之一,在单播环境下,特别是在VPN场景应用广泛。但是在播环境貌似看到的不多,通过RFC4301了解到IPSec首先是支持播的,即通过手动配置的方式可以实现组播包加密
netshipsec使用方法在命令行下,通过netshipsecstatic来配置IPSEC安全策略。前提是IPSEC服务已经打开。一个IPSEC由一个或者多个规则组成;一个规则有一个IP筛选列表
程序主要是读取这个网站的iis日志,分析出其中的IP地址,用安全策略自动封闭。VBS代码如下:代码如下:'代码开始SetfileobjCreateObject(Scriptingfilesystemo
策略编辑器是系统个性化的一个常用的方式。但是它没有提供备份手段,导致我们在换新机器或重装系统的时候,需要重新手动配置,如果修改的策略比较多的时候是一件比较麻烦的事情。周末的时候研究了下如何自己写程
1命令iprule路由策略数据库管理命令2对象路由策略数据库的规则用于控制选择路由的算法。Internet上采用的路由算法一般是基于数据包目的地址的。而在某些情况下,我们不只是需要通过数据包的目的地址
3389IP日志路径是C:\WINDOWS\PDPLOG\RDPlogtxt程序代码代码如下:MDC:\WINDOWS\PDPLOGechodate/t^>^>RDPlogtxt>&