Comandos de script de cortafuegos
En esta sección se describe cómo se escriben los archivos de script (archivos de script predeterminados o archivos de script dinámico) para que se puedan ejecutar durante el inicio del controlador o durante la activación de un comando específico.
NOTA: Las reglas de capa MAC se gestionan por separado y tienen más prioridad que otras reglas de filtrado de paquetes.
Sintaxis de los archivos de script
La sintaxis de los archivos de script se describe en Creación de un script.
Comandos generales del cortafuegos
Los comandos siguientes están disponibles para gestionar el cortafuegos de Ethernet de M262 Logic/Motion Controller:
|
Comando |
Descripción |
|---|---|
|
Firewall Enable |
Bloquea todas las tramas desde las interfaces Ethernet. Si no se autoriza ninguna dirección IP específica , no podrá haber comunicación en las interfaces Ethernet. NOTA: De manera predeterminada, cuando se habilite el cortafuegos, se rechazarán las tramas. |
|
Firewall Disable |
Las direcciones IP pueden acceder al controlador en las interfaces Ethernet. |
|
Firewall Ethx Default Allow (1) |
El controlador acepta tramas. |
|
Firewall Ethx Default Reject(1) |
El controlador rechaza tramas. NOTA: De manera predeterminada, si esta línea no está presente, corresponde al comando Firewall Eth1 Default Reject. |
|
(1)Donde Ethx = oEth1: Ethernet_1 oEth2: Ethernet_2 oEth3: TMSES4 |
|
Comandos específicos del cortafuegos
Los comandos siguientes están disponibles para configurar reglas del cortafuegos para puertos y direcciones específicos:
|
Comando |
Rango |
Descripción |
|---|---|---|
|
Firewall Eth1 Allow IP •.•.•.• |
• = 0-255 |
Se aceptan las tramas de la dirección IP específica en todos los números y tipos de puerto. |
|
Firewall Eth1 Reject IP •.•.•.• |
• = 0-255 |
Se rechazan las tramas de la dirección IP específica en todos los números y tipos de puerto. |
|
Firewall Eth1 Allow IPs •.•.•.• to •.•.•.• |
• = 0-255 |
Se aceptan las tramas de las direcciones IP dentro del rango especificado para todos los números y tipos de puerto. |
|
Firewall Eth1 Reject IPs •.•.•.• to •.•.•.• |
• = 0-255 |
Se rechazan las tramas de las direcciones IP dentro del rango especificado para todos los números y tipos de puerto. |
|
Firewall Eth1 Allow port_type port Y |
Se aceptan las tramas con el número de puerto de destino especificado. |
|
|
Firewall Eth1 Reject port_type port Y |
Se rechazan las tramas con el número de puerto de destino especificado. |
|
|
Firewall Eth1 Allow port_type ports Y1 to Y2 |
Se aceptan las tramas con un número de puerto de destino dentro del rango especificado. |
|
|
Firewall Eth1 Reject port_type ports Y1 to Y2 |
Se rechazan las tramas con un número de puerto de destino dentro del rango especificado. |
|
|
Firewall Eth1 Allow IP •.•.•.• on port_type port Y |
• = 0-255 |
Se aceptan las tramas de la dirección IP especificada y con el número de puerto de destino especificado. |
|
Firewall Eth1 Reject IP •.•.•.• on port_type port Y |
• = 0-255 |
Se rechazan las tramas de la dirección IP especificada y con el número de puerto de destino especificado. |
|
Firewall Eth1 Allow IP •.•.•.• on port_type ports Y1 to Y2 |
• = 0-255 |
Se aceptan las tramas de la dirección IP especificada y con un número de puerto de destino dentro del rango especificado. |
|
Firewall Eth1 Reject IP •.•.•.• on port_type ports Y1 to Y2 |
• = 0-255 |
Se rechazan las tramas de la dirección IP especificada y con un número de puerto de destino dentro del rango especificado. |
|
Firewall Eth1 Allow IPs •1.•1.•1.•1 to •2.•2.•2.•2 on port_type port Y |
• = 0-255 |
Se permiten las tramas de una dirección IP dentro del rango especificado y con el número de puerto de destino especificado. |
|
Firewall Eth1 Reject IPs •1.•1.•1.•1 to •2.•2.•2.•2 on port_type port Y |
• = 0-255 |
Se rechazan las tramas de una dirección IP dentro del rango especificado y con el número de puerto de destino especificado. |
|
Firewall Eth1 Allow IPs •1.•1.•1.•1 to •2.•2.•2.•2 on port_type ports Y1 to Y2 |
• = 0-255 |
Se aceptan las tramas de una dirección IP dentro del rango especificado y con un número de puerto de destino dentro del rango especificado. |
|
Firewall Eth1 Reject IPs •1.•1.•1.•1 to •2.•2.•2.•2 on port_type ports Y1 to Y2 |
• = 0-255 |
Se rechazan las tramas de una dirección IP dentro del rango especificado y con un número de puerto de destino dentro del rango especificado. |
|
Firewall Eth1 Allow MAC ••:••:••:••:••:•• |
• = 0-F |
Se aceptan las tramas de la dirección MAC especificada ••:••:••:••:••. NOTA: Cuando se aplican las reglas para permitir la dirección MAC, sólo las direcciones MAC de la lista pueden comunicarse con el controlador, aunque se permitan otras reglas. |
|
Firewall Eth1 Reject MAC ••:••:••:••:••:•• |
• = 0-F |
Se rechazan las tramas de la dirección MAC especificada ••:••:••:••:••. |
|
Firewall Ethx (1) Established to port_type port Y |
Y = de 0 a 65535 |
Se permiten las tramas establecidas desde el controlador con los protocolos TCP/UDP al número de puerto del destino especificado. |
|
(1) Si: ox=0, puerto USB. ox=1, puerto Ethernet 1. ox=2, puerto Ethernet 2. ox=3, puerto Ethernet de TMSES4. |
||
; Enable FireWall. All frames are rejected;
FireWall Enable;
; Allow frames on Eth1
FireWall Eth1 Default Allow;
; Block all Modbus Requests on all IP address
Firewall Eth1 Reject tcp port 502;
; Reject frames on Eth2
FireWall Eth2 Default Reject;
; Allow FTP active connection for IP address 85.16.0.17
FireWall Eth2 Allow IP 85.16.0.17 on tcp ports 20 to 21;
A continuación se ofrece un ejemplo de un cortafuegos en modalidad de lista blanca. En el ejemplo, todas las comunicaciones están bloqueadas de manera predeterminada y sólo se permiten los servicios necesarios.
NOTA: Este ejemplo se ha diseñado para mostrar la mayoría de los comandos disponibles con el cortafuegos. Se debe adaptar a la configuración y probar antes de la implementación.
|
Comandos |
Comentarios |
|
Firewall Enable |
; Habilitar el cortafuegos. |
|
Configuración Eth1 |
|
|
Firewall Eth1 Default Reject |
; Rechazar todas las tramas en la interfaz ETH1. ; En este ejemplo, ETH1 está conectado a la red de dispositivos Ethernet industrial y, por lo tanto, es relativamente de confianza. |
|
Firewall Eth1 Allow TCP port 502 |
; Permitir el servidor Modbus TCP en la interfaz ETH1. ; No hay autenticación en Modbus, de manera que esto sólo se debe permitir en redes de confianza. |
|
Firewall Eth1 Established to TCP port 502 |
; Permitir respuestas a comunicación establecida por el controlador al puerto TCP 502. ; Esto es necesario cuando se utiliza la biblioteca PlcCommunication para comunicarse utilizando el protocolo Modbus TCP. |
|
Firewall Eth1 Allow UDP port 2222 |
; Permitir al escáner ETHIP respuestas a intercambios implícitos al puerto UDP 2222 (ETHIP) en la interfaz ETH1. |
|
Firewall Eth1 Established to TCP port 44818 |
; Permite respuestas a la comunicación establecida por el controlador al puerto TCP 44818 (ETHIP) en la interfaz ETH1. ; Los dos últimos comandos permiten que el explorador EtherNetIP se comunique con los dispositivos Ethernet industrial. |
|
Configuración Eth2 |
|
|
Firewall Eth2 Default Reject |
; Rechazar todas las tramas en la interfaz ETH2. Esta interfaz se conecta a una red utilizada principalmente para la puesta en marcha. |
|
Firewall Eth2 Allow TCP port 4840 |
; Permitir servidor OPC-UA en interfaz ETH2. |
|
Firewall Eth2 Allow TCP port 443 |
; Permitir servidor web (https) en la interfaz ETH2. |
|
Firewall Eth2 Allow TCP port 8089 |
; Permitir web visu (https) en la interfaz ETH2. |
|
Firewall Eth2 Allow TCP port 20 to 21 |
; Permitir ftp en modalidad activa en la interfaz ETH2. |
|
Firewall Eth2 Allow IP 192.168.1.1 on UDP ports 27126 to 27127 |
; Permitir que la IP del PC de puesta en marcha detecte y configure la dirección IP del controlador. ; Sólo se debería permitir en una red de confianza porque la IP se puede cambiar aunque los derechos del usuario estén configurados. |
|
Firewall Eth2 Allow IP 192.168.1.1 to IP 192.168.1.2 on UDP port 1740 |
; Permitir que la IP del PC de puesta en marcha y una HMI se comuniquen con el controlador utilizando el protocolo de Machine Expert. |
|
Firewall Eth2 Allow TCP port 11740 |
; Permitir Fast TCP en la interfaz ETH2. Esto permite conectarse al controlador por medio de TCP. |
|
Firewall Eth2 Allow TCP port 2222 |
; Permitir la comunicación implícita con el puerto UDP 2222 (ETHIP) en la interfaz ETH2. |
|
Firewall Eth2 Allow TCP port 44818 |
; Permitir la comunicación explícita con el puerto TCP 44818 (ETHIP) en la interfaz ETH2. Los dos últimos comandos permiten utilizar el controlador como un adaptador EtherNetIP. |
|
Firewall Eth2 Allow MAC 4C:CC:6A:A1:09:C8 |
; Permitir la dirección MAC de la HMI. |
|
Firewall Eth2 Allow MAC 00:0C:29:92:43:A8 |
; Permitir la dirección MAC del PC de puesta en marcha. Sólo las direcciones MAC permitidas pueden comunicarse con el controlador. |
|
Configuración Eth3 TMSES4 |
|
|
Firewall Eth3 Default Reject |
; Rechazar tramas en TMSES4. Esta interfaz está conectada a la red de la planta y puede acceder a la web. Se debe considerar que no es de confianza. |
|
Firewall Eth3 Established to TCP port 443 |
; Permitir cliente http (por ejemplo, para la conexión a Machine Advisor) en la interfaz TMSES4. |
|
Firewall Eth3 Allow TCP port 11740 |
; Permitir Fast TCP en la interfaz TMSES4. Esto permite conectarse al controlador de manera remota. No se debe permitir a menos que los Derechos del usuario estén activados en el controlador. |
NOTA: Máximo 200 caracteres por línea, incluidos comentarios.
|
Protocolo |
Números de puertos de destino |
|---|---|
|
Machine Expert |
UDP 1740, 1741, 1742, 1743 TCP 11740 |
|
FTP |
TCP 21, 20 |
|
HTTP |
TCP 80 |
|
HTTPS |
TCP 443 |
|
Modbus |
TCP 502 |
|
Detección de Machine Expert |
UDP 27126, 27127 |
|
Detección dinámica de servicios web |
UDP 3702 TCP 5357 |
|
SNMP |
UDP 161, 162 |
|
NVL |
Valor predeterminado de UDP: 1202 |
|
EtherNet/IP |
UDP 2222 TCP 44818 |
|
Visualización web |
HTTP 8080 HTTPS 8089 |
