Skriptbefehle für die Firewall
In diesem Abschnitt wird beschrieben, wie Skriptdateien (Standardskriptdatei oder dynamische Skriptdatei) geschrieben werden müssen, damit sie beim Start der Steuerung bzw. bei einem bestimmten ausgelösten Befehl korrekt ausgeführt werden können.
HINWEIS: Die Regeln der MAC-Schicht werden separat verwaltet und haben höhere Priorität als die übrigen Paketfilterregeln.
Die Syntax von Skriptdateien werden in den Richtlinien für die Skriptsyntax beschrieben.
Für die Verwaltung der Ethernet-Firewall des M241 Logic Controller sind folgende Befehle verfügbar:
|
Befehl |
Beschreibung |
|---|---|
|
FireWall Enable |
Blockiert die Frames von den Ethernet-Schnittstellen. Wenn keiner bestimmte IP-Adresse entsprechende Berechtigungen zugewiesen werden, ist keine Datenübertragung über die Ethernet-Schnittstellen möglich. HINWEIS: Standardmäßig werden die Frames bei aktivierter Firewall abgewiesen. |
|
FireWall Disable |
IP-Adressen sind zum Zugriff auf die Steuerung über die Ethernet-Schnittstellen berechtigt. |
|
FireWall Ethx Default Allow(1) |
Frames werden von der Steuerung angenommen. |
|
FireWall Ethx Default Reject(1) |
Frames werden von der Steuerung abgewiesen. HINWEIS: Wenn diese Zeile nicht vorhanden ist, wird standardmäßig der Befehl FireWall Eth1 Default Reject verwendet. |
|
(1)Hierbei gilt: Ethx = oEth1: Ethernet_1 oEth2: TM4ES4 |
|
Für die Konfiguration der Firewallregeln für bestimmte Ports und Adressen sind folgende Befehle verfügbar:
|
Befehl |
Bereich |
Beschreibung |
|---|---|---|
|
Firewall Eth1 Allow IP •.•.•.• |
• = 0 bis 255 |
Die Frames von den genannten IP-Adressen sind für alle Portnummern und Porttypen zugelassen. |
|
Firewall Eth1 Reject IP •.•.•.• |
• = 0 bis 255 |
Die Frames von den genannten IP-Adressen werden für alle Portnummern und Porttypen abgewiesen. |
|
Firewall Eth1 Allow IPs •.•.•.• to •.•.•.• |
• = 0 bis 255 |
Die Frames von den IP-Adressen im genannten Bereich sind für alle Portnummern und Porttypen zugelassen. |
|
Firewall Eth1 Reject IPs •.•.•.• to •.•.•.• |
• = 0 bis 255 |
Die Frames von den IP-Adressen im genannten Bereich werden für alle Portnummern und Porttypen abgewiesen. |
|
Firewall Eth1 Allow port_type port Y |
Y = (Zielportnummern) |
Die Frames mit der genannten Zielportnummer sind zugelassen. |
|
Firewall Eth1 Reject port_type port Y |
Y = (Zielportnummern) |
Die Frames mit der genannten Zielportnummer werden zurückgewiesen. HINWEIS: Wenn die IP-Weiterleitung aktiviert ist, filtern Regeln mit Reject-Port nur Frames mit aktueller Steuerung als Ziel. Sie werden nicht auf die von der aktuellen Steuerung weitergeleiteten Frames angewendet. |
|
Firewall Eth1 Allow port_type ports Y1 to Y2 |
Y = (Zielportnummern) |
Die Frames mit einer Zielportnummer im genannten Bereich sind zugelassen. |
|
Firewall Eth1 Reject port_type ports Y1 to Y2 |
Y = (Zielportnummern) |
Die Frames mit einer Zielportnummer im genannten Bereich werden abgewiesen. |
|
Firewall Eth1 Allow IP •.•.•.• on port_type port Y |
• = 0 bis 255 Y = (Zielportnummern) |
Die Frames von der genannten IP-Adresse und mit der genannten Zielportnummer sind zugelassen. |
|
Firewall Eth1 Reject IP •.•.•.• on port_type port Y |
• = 0 bis 255 Y = (Zielportnummern) |
Die Frames von der genannten IP-Adresse und mit der genannten Zielportnummer werden abgewiesen. |
|
Firewall Eth1 Allow IP •.•.•.• on port_type ports Y1 to Y2 |
• = 0 bis 255 Y = (Zielportnummern) |
Die Frames von der genannten IP-Adresse und mit einer Zielportnummer im genannten Bereich sind zugelassen. |
|
Firewall Eth1 Reject IP •.•.•.• on port_type ports Y1 to Y2 |
• = 0 bis 255 Y = (Zielportnummern) |
Die Frames von der genannten IP-Adresse und mit einer Zielportnummer im genannten Bereich werden abgewiesen. |
|
Firewall Eth1 Allow IPs •1.•1.•1.•1 to •2.•2.•2.•2 on port_type port Y |
• = 0 bis 255 Y = (Zielportnummern) |
Die Frames von einer IP-Adresse im genannten Bereich und mit der genannten Zielportnummer werden zugelassen. |
|
Firewall Eth1 Reject IPs •1.•1.•1.•1 to •2.•2.•2.•2 on port_type port Y |
• = 0 bis 255 Y = (Zielportnummern) |
Die Frames von einer IP-Adresse im genannten Bereich und mit der genannten Zielportnummer werden abgewiesen. |
|
Firewall Eth1 Allow IPs •1.•1.•1.•1 to •2.•2.•2.•2 on port_type ports Y1 to Y2 |
• = 0 bis 255 Y = (Zielportnummern) |
Die Frames von einer IP-Adresse im genannten Bereich und mit einer Zielportnummer im genannten Bereich sind zugelassen. |
|
Firewall Eth1 Reject IPs •1.•1.•1.•1 to •2.•2.•2.•2 on port_type ports Y1 to Y2 |
• = 0 bis 255 Y = (Zielportnummern) |
Die Frames von einer IP-Adresse im genannten Bereich und mit einer Zielportnummer im genannten Bereich werden abgewiesen. |
|
Firewall Eth1 Allow MAC ••:••:••:••:••:•• |
• = 0...F |
Die Frames von der genannten MAC-Adresse ••:••:••:••:•• sind zugelassen. HINWEIS: Wenn Zulassungsregeln für MAC-Adressen verwendet werden, können nur aufgelistete MAC-Adressen mit der Steuerung kommunizieren, auch wenn andere Regeln angewendet werden. |
|
Firewall Eth1 Reject MAC ••:••:••:••:••:•• |
• = 0...F |
Die Frames mit der genannten MAC-Adresse ••:••:••:••:•• werden abgewiesen. |
HINWEIS: Der Parameter port_type kann TCP oder UDP sein.
; Enable firewall on Ethernet 1. All frames are rejected;
FireWall Enable;
; Block all Modbus Requests on all IP address
Firewall Eth1 Reject tcp port 502;
; Allow FTP active connection for IP address 85.16.0.17
Firewall Eth1 Allow IP 85.16.0.17 on tcp ports 20 to 21;
|
Protokoll |
Zielportnummern |
|---|---|
|
Machine Expert |
UDP 1740, 1741, 1742, 1743 TCP 1105 |
|
FTP |
TCP 21, 20 |
|
HTTP |
TCP 80 |
|
Modbus |
TCP 5021 |
|
Discovery |
UDP 27126, 27127 |
|
SNMP |
UDP 161, 162 |
|
NVL |
UDP-Standardwert: 1202 |
|
EtherNet/IP |
UDP 2222 TCP 44818 |
|
TFTP |
UDP 69 (nur für FDR-Server verwendet) |
1 Der Standardwert kann über den changeModbusPort-Befehl geändert werden.
