Commandes de script de pare-feu
Cette section décrit la syntaxe des fichiers de script (par défaut ou dynamiques) à respecter pour qu'ils s'exécutent correctement au démarrage du contrôleur ou lors du déclenchement d'une commande particulière.
NOTE : Les règles de la couche MAC sont gérées séparément et ont une priorité supérieure à celles des autres règles de filtre de paquet.
Syntaxe des fichiers de script
La syntaxe des fichiers de script est décrite dans la section Consignes pour la syntaxe des scripts.
Commandes de pare-feu générales
Les commandes suivantes permettent de gérer le pare-feu Ethernet du M241 Logic Controller :
|
Commande |
Description |
|---|---|
|
FireWall Enable |
Bloque les trames provenant des interfaces Ethernet. Si aucune adresse IP n'est autorisée, toute communication sur les interfaces Ethernet est impossible. NOTE : Par défaut, lorsque le pare-feu est activé, les trames sont rejetées. |
|
FireWall Disable |
Les adresses IP sont autorisées à accéder au contrôleur sur les interfaces Ethernet. |
|
FireWall Ethx Default Allow (1) |
Le contrôleur accepte toutes les trames. |
|
FireWall Ethx Default Reject (1) |
Le contrôleur rejette toutes les trames. NOTE : Cela correspond par défaut à la commande FireWall Eth1 Default Reject, en l'absence de ligne. |
|
(1) Où Ethx = oEth1 : Ethernet_1 oEth2 : TM4ES4 |
|
Commandes de pare-feu spécifiques
Les commandes suivantes permettent de configurer les règles de pare-feu pour certains ports et certaines adresses :
|
Commande |
Plage |
Description |
|---|---|---|
|
Firewall Eth1 Allow IP •.•.•.• |
• = 0 à 255 |
Les trames provenant de l'adresse IP indiquée sont autorisées sur l'ensemble des ports, quel que soit leur type. |
|
Firewall Eth1 Reject IP •.•.•.• |
• = 0 à 255 |
Les trames provenant de l'adresse IP indiquée sont rejetées sur l'ensemble des ports, quel que soit leur type. |
|
Firewall Eth1 Allow IPs •.•.•.• to •.•.•.• |
• = 0 à 255 |
Les trames provenant des adresses IP de la plage indiquée sont autorisées sur l'ensemble des ports, quel que soit leur type. |
|
Firewall Eth1 Reject IPs •.•.•.• to •.•.•.• |
• = 0 à 255 |
Les trames provenant des adresses IP de la plage indiquée sont rejetées sur l'ensemble des ports, quel que soit leur type. |
|
Firewall Eth1 Allow port_type port Y |
Les trames avec le numéro de port de destination spécifié sont autorisées. |
|
|
Firewall Eth1 Reject port_type port Y |
Les trames avec le numéro de port de destination spécifié sont rejetées. NOTE : Lorsque le transfert IP est activé, les règles associées à un port de rejet filtrent uniquement les trames ayant pour destination le contrôleur actuel. Elles ne s'appliquent pas aux trames routées par le contrôleur actuel. |
|
|
Firewall Eth1 Allow port_type ports Y1 to Y2 |
Les trames avec un numéro de port de destination appartenant à la plage indiquée sont autorisées. |
|
|
Firewall Eth1 Reject port_type ports Y1 to Y2 |
Les trames avec un numéro de port de destination appartenant à la plage indiquée sont rejetées. |
|
|
Firewall Eth1 Allow IP •.•.•.• on port_type port Y |
• = 0…255 |
Les trames provenant de l'adresse IP spécifiée et avec le numéro de port de destination indiqué sont autorisées. |
|
Firewall Eth1 Reject IP •.•.•.• on port_type port Y |
• = 0…255 |
Les trames provenant de l'adresse IP spécifiée et avec le numéro de port de destination indiqué sont rejetées. |
|
Firewall Eth1 Allow IP •.•.•.• on port_type ports Y1 to Y2 |
• = 0…255 |
Les trames provenant de l'adresse IP spécifiée et avec un numéro de port de destination appartenant à la plage indiquée sont autorisées. |
|
Firewall Eth1 Reject IP •.•.•.• on port_type ports Y1 to Y2 |
• = 0…255 |
Les trames provenant de l'adresse IP spécifiée et avec un numéro de port de destination appartenant à la plage indiquée sont rejetées. |
|
Firewall Eth1 Allow IPs •1.•1.•1.•1 to •2.•2.•2.•2 on port_type port Y |
• = 0…255 |
Les trames en provenance d'une adresse IP figurant dans la plage spécifiée et avec le numéro de port de destination indiqué sont autorisées. |
|
Firewall Eth1 Reject IPs •1.•1.•1.•1 to •2.•2.•2.•2 on port_type port Y |
• = 0…255 |
Les trames provenant d'une adresse IP de la plage spécifiée et avec le numéro de port de destination indiqué sont rejetées. |
|
Firewall Eth1 Allow IPs •1.•1.•1.•1 to •2.•2.•2.•2 on port_type ports Y1 to Y2 |
• = 0…255 |
Les trames provenant d'une adresse IP de la plage spécifiée et avec un numéro de port de destination appartenant à la plage indiquée sont autorisées. |
|
Firewall Eth1 Reject IPs •1.•1.•1.•1 to •2.•2.•2.•2 on port_type ports Y1 to Y2 |
• = 0…255 |
Les trames provenant d'une adresse IP de la plage spécifiée et avec un numéro de port de destination appartenant à la plage indiquée sont rejetées. |
|
Firewall Eth1 Allow MAC ••:••:••:••:••:•• |
• = 0 à F |
Les trames provenant de l'adresse MAC spécifiée ••:••:••:••:•• sont autorisées. NOTE : Lorsque des règles d'autorisation d'adresses MAC sont utilisées, seules les adresses MAC répertoriées peuvent communiquer avec le contrôleur, même si d'autres règles d'autorisation sont appliquées. |
|
Firewall Eth1 Reject MAC ••:••:••:••:••:•• |
• = 0 à F |
Les trames provenant de l'adresse MAC indiquée ••:••:••:••:•• sont rejetées. |
NOTE : Le port_type peut être TCP ou UDP.
; Enable firewall on Ethernet 1. All frames are rejected;
FireWall Enable;
; Block all Modbus Requests on all IP address
Firewall Eth1 Reject tcp port 502;
; Allow FTP active connection for IP address 85.16.0.17
Firewall Eth1 Allow IP 85.16.0.17 on tcp ports 20 to 21;
|
Protocole |
Numéros de ports de destination |
|---|---|
|
Machine Expert |
UDP 1740, 1741, 1742, 1743 TCP 1105 |
|
FTP |
TCP 21, 20 |
|
HTTP |
TCP 80 |
|
Modbus |
TCP 5021 |
|
Discovery |
UDP 27126, 27127 |
|
SNMP |
UDP 161, 162 |
|
NVL |
UDP Valeur par défaut : 1202 |
|
EtherNet/IP |
UDP 2222 TCP 44818 |
|
TFTP |
UDP 69 (utilisé pour le serveur FDR uniquement) |
1 Vous pouvez modifier la valeur par défaut à l'aide de la commande changeModbusPort.
