Skriptbefehle für die Firewall
In diesem Abschnitt wird beschrieben, wie Skriptdateien (Standardskriptdateien oder dynamische Skriptdateien) geschrieben werden müssen, damit sie beim Start der Steuerung bzw. bei einem bestimmten ausgelösten Befehl korrekt ausgeführt werden können.
HINWEIS: Die Regeln der MAC-Schicht werden separat verwaltet und haben höhere Priorität als die übrigen Paketfilterregeln.
Die Syntax von Skriptdateien wird unter „Erstellen eines Skripts“ beschrieben.
Für die Verwaltung der Ethernet-Firewall des M262 Logic/Motion Controller sind folgende Befehle verfügbar:
|
Befehl |
Beschreibung |
|---|---|
|
Firewall Enable |
Blockiert die Frames von den Ethernet-Schnittstellen. Wenn keiner bestimmten IP-Adresse oder keinem Port entsprechende Berechtigungen zugewiesen werden, ist keine Datenübertragung über die Ethernet-Schnittstellen möglich. HINWEIS: Standardmäßig werden die Frames bei aktivierter Firewall abgewiesen. |
|
Firewall Disable |
IP-Adressen können auf die Steuerung an den Ethernet-Schnittstellen zugreifen. |
|
Firewall Ethx Default Allow(1) |
Frames werden von der Steuerung an der Schnittstelle Ethx angenommen. |
|
Firewall Ethx Default Reject(1) |
Frames werden von der Steuerung an der Schnittstelle Ethx abgewiesen. HINWEIS: Wenn diese Zeile nicht vorhanden ist, wird standardmäßig der Befehl Firewall Eth1 Default Reject verwendet. |
|
(1)Hierbei gilt: Ethx = oEth0: USB-Port oEth1: Ethernet_1 oEth2: Ethernet_2 oEth3: TMSES4 |
|
Für die Konfiguration der Firewallregeln für bestimmte Ports und Adressen sind folgende Befehle verfügbar:
|
Befehl |
Bereich |
Beschreibung |
|---|---|---|
|
Firewall Eth1 Allow IP •.•.•.• |
• = 0 bis 255 |
Die Frames von den genannten IP-Adressen sind für alle Portnummern und Porttypen zugelassen. |
|
Firewall Eth1 Reject IP •.•.•.• |
• = 0 bis 255 |
Die Frames von den genannten IP-Adressen werden für alle Portnummern und Porttypen abgewiesen. |
|
Firewall Eth1 Allow IPs •.•.•.• to •.•.•.• |
• = 0 bis 255 |
Die Frames von den IP-Adressen im genannten Bereich sind für alle Portnummern und Porttypen zugelassen. HINWEIS: Regeln mit bestimmtem IP-Adressbereich werden in der Steuerung in das CIDR-Format konvertiert, während sie eingerichtet werden. Beispiel: "Firewall Eth2 gestattet, dass die IPs 192.168.100.66 bis 192.168.100.99 auf TCP-Port 44818" in 7 unterteilt werden: o192.168.100.66/31 o192.168.100.68/30 o192.168.100.72/29 o192.168.100.80/28 o192.168.100.96/27 o192.168.100.128/26 o192.168.100.192/29 Durch die Verwendung vollständiger Subnetz-IP-Bereiche wird die Sättigung von Firewallregeln verhindert. |
|
Firewall Eth1 Reject IPs •.•.•.• to •.•.•.• |
• = 0 bis 255 |
Die Frames von den IP-Adressen im genannten Bereich werden für alle Portnummern und Porttypen abgewiesen. |
|
Firewall Eth1 Allow port_type port Y |
Y = (Zielportnummern) |
Die Frames mit der genannten Zielportnummer sind zugelassen. |
|
Firewall Eth1 Reject port_type port Y |
Y = (Zielportnummern) |
Die Frames mit der genannten Zielportnummer werden zurückgewiesen. |
|
Firewall Eth1 Allow port_type ports Y1 to Y2 |
Y = (Zielportnummern) |
Die Frames mit einer Zielportnummer im genannten Bereich sind zugelassen. |
|
Firewall Eth1 Reject port_type ports Y1 to Y2 |
Y = (Zielportnummern) |
Die Frames mit einer Zielportnummer im genannten Bereich werden abgewiesen. |
|
Firewall Eth1 Allow IP •.•.•.• on port_type port Y |
• = 0 bis 255 Y = (Zielportnummern) |
Die Frames von der genannten IP-Adresse und mit der genannten Zielportnummer sind zugelassen. |
|
Firewall Eth1 Reject IP •.•.•.• on port_type port Y |
• = 0 bis 255 Y = (Zielportnummern) |
Die Frames von der genannten IP-Adresse und mit der genannten Zielportnummer werden abgewiesen. |
|
Firewall Eth1 Allow IP •.•.•.• on port_type ports Y1 to Y2 |
• = 0 bis 255 Y = (Zielportnummern) |
Die Frames von der genannten IP-Adresse und mit einer Zielportnummer im genannten Bereich sind zugelassen. |
|
Firewall Eth1 Reject IP •.•.•.• on port_type ports Y1 to Y2 |
• = 0 bis 255 Y = (Zielportnummern) |
Die Frames von der genannten IP-Adresse und mit einer Zielportnummer im genannten Bereich werden abgewiesen. |
|
Firewall Eth1 Allow IPs •1.•1.•1.•1 to •2.•2.•2.•2 on port_type port Y |
• = 0 bis 255 Y = (Zielportnummern) |
Die Frames von einer IP-Adresse im genannten Bereich und mit der genannten Zielportnummer werden zugelassen. |
|
Firewall Eth1 Reject IPs •1.•1.•1.•1 to •2.•2.•2.•2 on port_type port Y |
• = 0 bis 255 Y = (Zielportnummern) |
Die Frames von einer IP-Adresse im genannten Bereich und mit der genannten Zielportnummer werden abgewiesen. |
|
Firewall Eth1 Allow IPs •1.•1.•1.•1 to •2.•2.•2.•2 on port_type ports Y1 to Y2 |
• = 0 bis 255 Y = (Zielportnummern) |
Die Frames von einer IP-Adresse im genannten Bereich und mit einer Zielportnummer im genannten Bereich sind zugelassen. |
|
Firewall Eth1 Reject IPs •1.•1.•1.•1 to •2.•2.•2.•2 on port_type ports Y1 to Y2 |
• = 0 bis 255 Y = (Zielportnummern) |
Die Frames von einer IP-Adresse im genannten Bereich und mit einer Zielportnummer im genannten Bereich werden abgewiesen. |
|
Firewall Eth1 Allow MAC ••:••:••:••:••:•• |
• = 0...F |
Die Frames von der genannten MAC-Adresse ••:••:••:••:•• sind zugelassen. HINWEIS: Wenn Zulassungsregeln für MAC-Adressen angewendet werden, können nur die aufgelisteten MAC-Adressen mit der Steuerung kommunizieren, auch wenn andere Regeln zulässig sind. |
|
Firewall Eth1 Reject MAC ••:••:••:••:••:•• |
• = 0...F |
Die Frames mit der genannten MAC-Adresse ••:••:••:••:•• werden abgewiesen. |
|
Firewall Ethx (1) Established to port_type port Y |
Y = 0 bis 65535 |
Frames, die von der Steuerung mit den Protokollen TCP/UDP an die angegebene Ziel-Portnummer gesendet werden, sind zulässig. |
|
(1) Wenn: ox=0, USB-Port. ox=1, Ethernet 1-Port. ox=2, Ethernet 2-Port. ox=3, Ethernet-Port des TMSES4-Moduls. |
||
HINWEIS: Wenn die IP-Weiterleitung aktiviert ist, filtern Regeln mit Reject-Port nur Frames mit aktueller Steuerung als Ziel. Sie werden nicht auf die von der aktuellen Steuerung weitergeleiteten Frames angewendet.
; Enable FireWall. All frames are rejected;
FireWall Enable;
; Allow frames on Eth1
FireWall Eth1 Default Allow;
; Block all Modbus Requests on all IP address
Firewall Eth1 Reject tcp port 502;
; Reject frames on Eth2
FireWall Eth2 Default Reject;
; Allow FTP active connection for IP address 85.16.0.17
FireWall Eth2 Allow IP 85.16.0.17 on tcp ports 20 to 21;
Nachfolgend ist ein Beispiel für eine Firewall im Whitelist-Modus aufgeführt. In dem Beispiel ist standardmäßig die gesamte Kommunikation gesperrt, und nur die notwendigen Dienste sind zugelassen.
HINWEIS: In dem Beispiel werden die meisten mit der Firewall verfügbaren Befehle gezeigt. Es sollte an Ihre Konfiguration angepasst und vor der Implementierung getestet werden.
|
Befehle |
Kommentare |
|
Firewall Enable |
; Aktiviert die Firewall. |
|
Eth1-Konfiguration |
|
|
Firewall Eth1 Default Reject |
; Weist alle Frames an der Schnittstelle ETH1 zurück. ; In diesem Beispiel ist ETH1 mit dem Industrial Ethernet-Gerätenetzwerk verbunden und kann daher als relativ vertrauenswürdig betrachtet werden. |
|
Firewall Eth1 Allow TCP port 502 |
; Lässt Modbus TCP-Server an der Schnittstelle ETH1 zu. ; Es erfolgt keine Modbus-Authentifizierung, daher sollte dies nur in vertrauenswürdigen Netzwerken gestattet werden. |
|
Firewall Eth1 Established to TCP port 502 |
; Gestattet Antworten auf die von der Steuerung hergestellte Kommunikation an den TCP-Port 502. ; Dies ist erforderlich, wenn die PlcCommunication-Bibliothek für die Kommunikation mit dem Modbus TCP-Protokoll verwendet wird. |
|
Firewall Eth1 Allow UDP port 2222 |
; Der ETHIP-Scanner kann implizit Antworten auf den UDP-Port 2222 (ETHIP) an der Schnittstelle ETH1 austauschen. |
|
Firewall Eth1 Established to TCP port 44818 |
; Gestattet Antworten auf die von der Steuerung hergestellte Kommunikation an den TCP-Port 44818 (ETHIP) an der Schnittstelle ETH1. ; Die letzten 2 Befehle gestatten dem EtheNetIP-Scanner die Kommunikation mit den Industrial Ethernet-Geräten. |
|
Eth2-Konfiguration |
|
|
Firewall Eth2 Default Reject |
; Weist alle Frames an der Schnittstelle ETH2 zurück. Diese Schnittstelle ist mit einem Netzwerk verbunden, das in erster Linie für die Inbetriebnahme genutzt wird. |
|
Firewall Eth2 Allow TCP port 4840 |
; Lässt den OPC-UA-Server an der Schnittstelle ETH2 zu. |
|
Firewall Eth2 Allow TCP port 443 |
; Lässt den Webserver (HTTPS) an der Schnittstelle ETH2 zu. |
|
Firewall Eth2 Allow TCP port 8089 |
; Lässt die Webvisualisierung (HTTPS) an der Schnittstelle ETH2 zu. |
|
Firewall Eth2 Allow TCP port 20 to 21 |
; Lässt FTP im aktiven Modus an der Schnittstelle ETH2 zu. |
|
Firewall Eth2 Allow IP 192.168.1.1 on UDP ports 27126 to 27127 |
; Ermöglicht es der IP des Inbetriebnahme-PCs, die IP-Adresse der Steuerung zu ermitteln und zu konfigurieren. ; Dies sollte nur in einem vertrauenswürdigen Netzwerk gestattet sein, da die IP geändert werden kann, auch wenn die Benutzerrechte konfiguriert sind. |
|
Firewall Eth2 Allow IP 192.168.1.1 to IP 192.168.1.2 on UDP port 1740 |
; Ermöglicht es der IP des Inbetriebnahme-PCs und eines HMI mit der Steuerung über das Machine Expert Protokoll zu kommunizieren. |
|
Firewall Eth2 Allow TCP port 11740 |
; Lässt Fast TCP an der Schnittstelle ETH2 zu. Dies ermöglicht es, eine Verbindung mit der Steuerung über TCP herzustellen. |
|
Firewall Eth2 Allow TCP port 2222 |
; Gestattet die implizite Kommunikation mit dem UDP-Port 2222 (ETHIP) an der Schnittstelle ETH2. |
|
Firewall Eth2 Allow TCP port 44818 |
; Gestattet die explizite Kommunikation zum TCP-Port 44818 (ETHIP) an der Schnittstelle ETH2. Die letzten beiden Befehle ermöglichen es, die Steuerung als EtherNetIP-Adapter zu verwenden. |
|
Firewall Eth2 Allow MAC 4C:CC:6A:A1:09:C8 |
; Lässt die MAC-Adresse der HMI zu. |
|
Firewall Eth2 Allow MAC 00:0C:29:92:43:A8 |
; Lässt die MAC-Adresse des Inbetriebnahme-PCs zu. Nur zulässige MAC-Adressen können mit der Steuerung kommunizieren. |
|
Eth3-Konfiguration TMSES4 |
|
|
Firewall Eth3 Default Reject |
; Weist Frames auf TMSES4 zurück. Diese Schnittstelle ist mit dem Werksnetzwerk verbunden und kann auf das Internet zugreifen. Sie sollte als nicht vertrauenswürdig betrachtet werden. |
|
Firewall Eth3 Established to TCP port 443 |
; Lässt den HTTP-Client (zum Beispiel zum Einrichten einer Verbindung zu Machine Advisor) an der TMSES4-Schnittstelle zu. |
|
Firewall Eth3 Allow TCP port 11740 |
; Lässt Fast TCP an der Schnittstelle TMSES4 zu. Dies ermöglicht es, eine Remoteverbindung mit der Steuerung herzustellen. Dies darf nicht zulässig sein, es sei denn, die Benutzerrechte sind auf der Steuerung aktiviert. |
HINWEIS: Es sind maximal 200 Zeichen pro Zeile gestattet, einschließlich Kommentare.
|
Protokoll |
Zielportnummern |
|---|---|
|
Machine Expert |
UDP 1740, 1741, 1742, 1743 TCP 11740 |
|
FTP |
TCP 21, 20 |
|
HTTP |
TCP 80 |
|
HTTPS |
TCP 443 |
|
Modbus |
TCP 502 |
|
Machine Expert Discovery |
UDP 27126, 27127 |
|
Web Services Dynamic Discovery |
UDP 3702 TCP 5357 |
|
SNMP |
UDP 161, 162 |
|
NVL |
UDP-Standardwert: 1202 |
|
EtherNet/IP |
UDP 2222 TCP 44818 |
|
Webvisualization |
HTTP 8080 HTTPS 8089 |
|
TFTP |
UDP 69 (nur für FDR-Server verwendet) |
|
SafeLogger |
UDP 35021, 45000 |
|
Machine Assistant |
UDP 45001 bis 45004 |
