Windows IPsec IP安全策略_故障现象

IPsec 是一个很有用的功能，以前在服务器端上用过，哪个时候常常都手动添加，量少还好，多了就会觉得繁琐。

下面就来了解下基于CMD版本的IPsec

# 批处理小知识

bat脚本获取管理员权限

@echo off

%1 mshta vbscript:CreateObject("Shell.Application").ShellExecute("cmd.exe","/c %~s0 ::","","runas",1)(window.close)&&exit

cd /d "%~dp0"

## CMD批处理添加IPsec

# 创建一个名字为“IPblock_list”的安全策略，并添加安全策略描述（policy ）

netsh ipsec static add policy name=IPblock_list description="IP Block List"

# 创建筛选列表（filterlist）

example:

netsh ipsec static add filterlist name=denyAll

# 创建筛选器（filter）

筛选器的参数及含义如下：

标签值

filterlist -筛选器要添加到的筛选器列表的名称。

srcaddr -源 ip 地址，dns 名称或 server 类型。

dstaddr -目标 ip 地址，dns 名称或 server 类型。

description -筛选器的简短信息。

protocol -可以是 ANY，ICMP，TCP，UDP，RAW，或者一个整数。

mirrored -值为 yes 将创建两个筛选器，每个方向一个。

srcmask -源地址掩码或一个 1 到 32 的前缀。

dstmask -目标地址掩码一个 1 到 32 的前缀。

srcport -数据包的源端口。值为 0 意味着任意端口。

dstport -数据包的目标端口。值为 0 意味着任意端口。

netsh ipsec static add filter filterlist=denyAll srcaddr=0.0.0.0 srcmask=0.0.0.0 dstaddr=me protocol=TCP dstport=21 description="TCP21ftp"

netsh ipsec static add filter filterlist=denyAll srcaddr=0.0.0.0 srcmask=0.0.0.0 dstaddr=me protocol=TCP dstport=23 description="TCP23telnet"

netsh ipsec static add filter filterlist=denyAll srcaddr=0.0.0.0 srcmask=0.0.0.0 dstaddr=me protocol=TCP dstport=135 description="TCP135RPC"

netsh ipsec static add filter filterlist=denyAll srcaddr=0.0.0.0 srcmask=0.0.0.0 dstaddr=me protocol=TCP dstport=139 description="TCP139NetworkShare"

netsh ipsec static add filter filterlist=denyAll srcaddr=0.0.0.0 srcmask=0.0.0.0 dstaddr=me protocol=TCP dstport=445 description="TCP445SMB"

netsh ipsec static add filter filterlist=denyAll srcaddr=0.0.0.0 srcmask=0.0.0.0 dstaddr=me protocol=UDP dstport=69 description="UDP69Tftp"

netsh ipsec static add filter filterlist=denyAll srcaddr=0.0.0.0 srcmask=0.0.0.0 dstaddr=me protocol=UDP dstport=137 description="UDP137NetBIOS"

netsh ipsec static add filter filterlist=denyAll srcaddr=0.0.0.0 srcmask=0.0.0.0 dstaddr=me protocol=UDP dstport=138 description="UDP138NetBIOS"

## 创建筛选器动作（filteraction）

创建筛选器动作的相关参数：

标签值

name -筛选器操作的名称。

description -筛选器操作类别的简短信息。

qmpfs -设置快速模式完全向前保密的选项。

inpass -接受不安全的通讯，但是总是用 IPSec响应。这接受 yes 或 no。

soft -允许与没有 IPSec 的计算机进行不安全的通讯。可以是 yes 或 no。

action -可以是 permit，block 或 negotiate。

netsh ipsec static add filteraction name=allow action=permit

netsh ipsec static add filteraction name=deny action=block

# 添加一个规则（rule）

netsh ipsec static add rule name=deny policy=IPblock_list filterlist=denyAll filteraction=deny

# 指派安全策略（policy）

netsh ipsec static set policy name=IPblock_list assign=y

# 导出安全策略（policy）

netsh ipsec static exportpolicy c:\Loki.ipsec

# 把安全策略导入（policy）

netsh ipsec static importpolicy c:\Loki.ipsec

# 删除所有IP安全策略（policy）

删除IP安全策略中的所有的内容，包括所有的策略、规则、筛选器列表、筛选器、筛选器动作等。

netsh ipsec static del all

-----------------------------------

Windows IPsec IP安全策略

https://blog.51cto.com/u_15127652/4210322

# 自己制作的IPsec 批处理 for Win11

登录后复制

@ echo off

%1 %2

ver|find "5.">nul&&goto :Admin

mshta vbscript:createobject("shell.application").shellexecute("%~s0","goto :Admin","","runas",1)(window.close)&goto :eof

:: Author: Loki 20211012 beta1

:Admin

echo setp. 1/7 Clean up and Back up other old IPsec

netsh ipsec static exportpolicy c:\old_ipsec.ipsec

netsh ipsec static del all

cls

echo setp. 2/7 Create policy

netsh ipsec static add policy name=IPblock_list description="IP Block List for Loki 20211012"

cls

echo setp. 3/7 Create filterlist

netsh ipsec static add filterlist name=denyAll

cls

echo setp. 4/7 Create filter TCP 21 23 135 139 445 UDP 69 137 138