Windows系统IPsec中的IP筛选列表的功能可以替代windows防火墙,尤其在2003时代更为重要,因为2003防火墙比较薄弱,不能做到出站的限制(win2008已经完善), IP筛选列表可以限制源IP及源端口,也可限制目标IP和目标端口(如图),具体不在这里详说,不是本文重点。

clip_p_w_picpath002

添加IP筛选列表方法是图形化界面比较简单,但是IP筛选列表有个缺点如果限制的端口很多(如图),只能一条一条记录添加,不能一条添加多个端口。

clip_p_w_picpath004

可用netsh ipsec命令进行添加  

Netsh ipsec static add filterlist name=OLDplat_port_in_new

Netsh ipsec static add filter filterlist=OLDplat_port_in_new any srcmask=32 srcport=0 dstaddr=me dstport=993 protocol=tcp

Netsh ipsec static add filter filterlist=OLDplat_port_in_new any srcmask=32 srcport=0 dstaddr=me dstport=994 protocol=tcp

Netsh ipsec static add filter filterlist=OLDplat_port_in_new any srcmask=32 srcport=0 dstaddr=me dstport=995 protocol=tcp

Netsh ipsec static add filter filterlist=OLDplat_port_in_new any srcmask=32 srcport=0 dstaddr=me dstport=996 protocol=tcp

Netsh ipsec static add filter filterlist=OLDplat_port_in_new any srcmask=32 srcport=0 dstaddr=me dstport=1117 protocol=tcp


这样在本地组策略IP筛选列表就方便多了,但是问题又来了,我们公司是在域中用域组策略配置IP筛选列表推到各个域中计算机上,

clip_p_w_picpath006

如何在域策略管理器添加IP筛选列表,在baidu查了好久,终于找到了如下命令

将存储设为域存储

netsh ipsec static set store location=domain domain=beijing.nosvr.com

netsh执行文本

Netsh exec aaa.txt

用第一条命令,将存储设为域存储,用命令查看你会发现,存储还是在本地,所以你必须用到第二条命令。

clip_p_w_picpath008

步骤如下

1.先编辑文本文件,将存储设为域,列表命令写好,如下

clip_p_w_picpath010

2.执行如下命令

C:\Windows\system32>netsh exec c:\tools\ipsec_laoplat_in.txt

clip_p_w_picpath012

大概几十秒后,查看IP筛选列表

clip_p_w_picpath013

参考

http://bbs.winos.cn/viewthread.php?tid=127888