ipseccmd使用方法.docVIP

1、ipseccmd是干什么用的？ ipseccmd可以理解为IP安全策略的命令行版。可以使用命令参数来设置各种各样的IP安全策略。 2、ipseccmd是否是WINDOWS自带的？ ipseccmd不是WINDOWS装好后就存在的工具。它存在于原版XP光盘的SUPPORT\TOOLS\SUPPORT.CAB压缩包中！ 4、ipseccmd的命令解析。 常用参数 -w reg 表明将配置写入注册表，重启后仍有效。 -p 指定策略名称，如果名称存在，则将该规则加入此策略，否则创建一个。 -r 指定规则名称。 -n 指定操作，可以是BLOCK、PASS或者INPASS，必须大写。 -x 激活该策略。 -y 使之无效。 -o 删除-p指定的策略。 高级参数 -f 设置过滤规则。格式为 A.B.C.D/mask:port=A.B.C.D/mask:port:protocol。 其中=前面的是源地址，后面是目的地址。如果使用+，则表明此规则是双向的。IP地址中用*代表任何IP地址， 0代表我自己的IP地址。还可以使用通配符，比如144.92.*.* 等效于/。 -lan 指定规则应用为局域网。 -dialup 指定规则应用为广域网。 + 表示双向。 * 表示所有IP 0 表示自己的IP 还有一些参数，我还理解不太好。同时感觉用到的地方不太多了。所以就不多说。先举例子说明一下以上参数吧！ 4.1禁止以任何协议访问某IP的任何端口: ipseccmd -w REG -p clxp safe policy -r disable connect ip -f 0/55=/55:: -n BLOCK -x 此段代码的含义：设置名为“clxp safe policy”的IP安全策略，添加名为disable connect ip的规则。 筛选对象为：我的IP和这个IP（55的意思就是单独一个IP。） 筛选操作为：禁止访问 端口：所有 协议：所有 测试是否生效：此规则为我以任何IP任何端口都无法访问这个IP，这个IP是百度的。 直接以HTTP访问，应该是访问不到的，用的是TCP协议。目标端口80 直接PING ，应该是PING不通的，用的是ICMP协议。 -------------------------- 4.2禁止访问某IP的某端口 ipseccmd -w REG -p clxp safe policy -r disable connect ip -f 0/55=/55:80:tcp -n BLOCK -x 此段代码的含义：设置名为“clxp safe policy”的IP安全策略，添加名为disable connect ip的规则。 筛选对象为：我的IP和这个IP（55的意思就是单独一个IP。） 筛选操作为：禁止访问 端口：80 协议：TCP(必须指定端口.感谢易拉罐提出错误.) 测试是否生效：HTTP无法访问80端口。但是可以访问其他端口。因为协议选的是TCP，PING是可以通的。 4.3禁止使用TCP协议访问某IP的某端口 ipseccmd -w REG -p clxp safe policy -r disable connect ip -f 0/55=/55:80:tcp -n BLOCK -x 此段代码的含义：设置名为“clxp safe policy”的IP安全策略，添加名为disable connect ip的规则。 筛选对象为：我的IP和这个IP（55的意思就是单独一个IP。） 筛选操作为：禁止访问 端口：80 协议：tcp 测试是否生效：无法使用HTTP访问，但是可以PING通。 4.4双向限制。 什么是双向限制呢？就是我不能用TCP协议访问你，你也不能用TCP协议访问我。 我不能用访问你的80端口，你也不能访问我的80端口。 要实现这个就简单了。只要把上面代码里的“=”等号，换为“+”加号就可以了。 4.5禁止所有人访问我的某的端口。 ipseccmd -w REG -p clxp safe policy -r Block TCP/135 -f *=0:135:TCP -n BLOCK -x 4.6禁止PING。 针对任何网络都禁止PING入和PING出。 ipseccmd -w REG -p clxp safe policy -r disable out ping -f *=0::icmp -n BLOCK -x 局域网禁止PING入。 ipseccmd -w REG -p clxp safe policy -r disable out ping -f *=0::icmp -n BLOCK -x -lan 2000下用ipsecpol。 WIN2003下直接就是IPSEC命令。遗憾的是，它们都不是系统自带的