Comandi di script del firewall
Questa sezione descrive come i file di script (file di script predefinito o file di script dinamico) vengono scritti in modo da poter essere eseguiti durante l'avvio del controller o durante uno specifico comando attivato.
NOTA: Le regole del livello MAC sono gestite separatamente e hanno una priorità più alta rispetto alle altre regole di filtro dei pacchetti.
La sintassi dei file di script è descritta in Linee guida di sintassi script.
I comandi seguenti sono disponibili per la gestione del firewall Ethernet del M241 Logic Controller:
|
Comando |
Descrizione |
|---|---|
|
FireWall Enable |
Blocca i frame dalle interfacce Ethernet. Se nessun indirizzo IP specifico è autorizzato, non è possibile comunicare sulle interfacce Ethernet. NOTA: Per impostazione predefinita, quando il firewall è attivato, vengono rifiutati i frame. |
|
FireWall Disable |
Gli indirizzi IP sono autorizzati ad accedere al controller su tutte le interfacce Ethernet. |
|
FireWall Ethx Default Allow(1) |
I frame vengono accettati dal controller. |
|
FireWall Ethx Default Reject(1) |
I frame vengono rifiutati dal controller. NOTA: Per impostazione predefinita, se questa riga non è presente, corrisponde al comando FireWall Eth1 Default Reject. |
|
(1)Dove Ethx = oEth1: Ethernet_1 oEth2: TM4ES4 |
|
Comandi specifici del firewall
I comandi seguenti sono disponibili per configurare le regole del firewall per indirizzi e porte specifiche:
|
Comando |
Intervallo |
Descrizione |
|---|---|---|
|
Firewall Eth1 Allow IP •.•.•.• |
• = 0 - 255 |
I frame provenienti dall'indirizzo IP specificato sono consentiti su tutti i numeri di porte e i tipi di porte. |
|
Firewall Eth1 Reject IP •.•.•.• |
• = 0 - 255 |
I frame provenienti dall'indirizzo IP specificato sono rifiutati su tutti i numeri di porte e i tipi di porte. |
|
Firewall Eth1 Allow IPs •.•.•.• to •.•.•.• |
• = 0 - 255 |
I frame provenienti dagli indirizzi IP nell'intervallo specificato sono consentiti per tutti i numeri di porte e i tipi di porte. |
|
Firewall Eth1 Reject IPs •.•.•.• to •.•.•.• |
• = 0 - 255 |
I frame provenienti dagli indirizzi IP nell'intervallo specificato sono rifiutati per tutti i numeri di porte e i tipi di porte. |
|
Firewall Eth1 Allow port_type port Y |
I frame con il numero della porta di destinazione specificato sono consentiti. |
|
|
Firewall Eth1 Reject port_type port Y |
I frame con il numero della porta di destinazione specificato sono rifiutati. NOTA: Quando l'inoltro IP è attivato, le regole con rifiuto di porte filtrano solo frame con il controller corrente come destinazione. Non sono applicate per i frame instradati dal controller corrente. |
|
|
Firewall Eth1 Allow port_type ports Y1 to Y2 |
I frame con un numero della porta di destinazione nell'intervallo specificato sono consentiti. |
|
|
Firewall Eth1 Reject port_type ports Y1 to Y2 |
I frame con un numero della porta di destinazione nell'intervallo specificato sono rifiutati. |
|
|
Firewall Eth1 Allow IP •.•.•.• on port_type port Y |
• = 0 - 255 |
I frame provenienti dall'indirizzo IP specificato e con il numero della porta di destinazione specificato sono consentiti. |
|
Firewall Eth1 Reject IP •.•.•.• on port_type port Y |
• = 0 - 255 |
I frame provenienti dall'indirizzo IP specificato e con il numero della porta di destinazione specificato sono rifiutati. |
|
Firewall Eth1 Allow IP •.•.•.• on port_type ports Y1 to Y2 |
• = 0 - 255 |
I frame provenienti dall'indirizzo IP specificato e con un numero della porta di destinazione nell'intervallo specificato sono consentiti. |
|
Firewall Eth1 Reject IP •.•.•.• on port_type ports Y1 to Y2 |
• = 0 - 255 |
I frame provenienti dall'indirizzo IP specificato e con un numero della porta di destinazione nell'intervallo specificato sono rifiutati. |
|
Firewall Eth1 Allow IPs •1.•1.•1.•1 to •2.•2.•2.•2 on port_type port Y |
• = 0 - 255 |
I frame provenienti da un indirizzo IP nell'intervallo specificato e con il numero di porta di destinazione specificato sono consentiti. |
|
Firewall Eth1 Reject IPs •1.•1.•1.•1 to •2.•2.•2.•2 on port_type port Y |
• = 0 - 255 |
I frame provenienti da un indirizzo IP nell'intervallo specificato e con il numero di porta di destinazione specificato sono rifiutati. |
|
Firewall Eth1 Allow IPs •1.•1.•1.•1 to •2.•2.•2.•2 on port_type ports Y1 to Y2 |
• = 0 - 255 |
I frame provenienti da un indirizzo IP nell'intervallo specificato e con il numero di porta di destinazione nell'intervallo specificato sono consentiti. |
|
Firewall Eth1 Reject IPs •1.•1.•1.•1 to •2.•2.•2.•2 on port_type ports Y1 to Y2 |
• = 0 - 255 |
I frame provenienti da un indirizzo IP nell'intervallo specificato e con il numero di porta di destinazione nell'intervallo specificato sono rifiutati. |
|
Firewall Eth1 Allow MAC ••:••:••:••:••:•• |
• = 0 - F |
I frame provenienti dall'indirizzo MAC ••:••:••:••:•• specificato sono consentiti. NOTA: Quando vengono utilizzate le regole dell'indirizzo MAC, solo gli indirizzi MAC elencati possono comunicare con il controller anche se sono applicate altre regole di autorizzazione. |
|
Firewall Eth1 Reject MAC ••:••:••:••:••:•• |
• = 0 - F |
I frame provenienti dall'indirizzo MAC ••:••:••:••:•• specificato sono rifiutati. |
NOTA: port_type può essere TCP o UDP.
; Enable firewall on Ethernet 1. All frames are rejected;
FireWall Enable;
; Block all Modbus Requests on all IP address
Firewall Eth1 Reject tcp port 502;
; Allow FTP active connection for IP address 85.16.0.17
Firewall Eth1 Allow IP 85.16.0.17 on tcp ports 20 to 21;
|
Protocollo |
Numeri porta di destinazione |
|---|---|
|
Machine Expert |
UDP 1740, 1741, 1742, 1743 TCP 1105 |
|
FTP |
TCP 21, 20 |
|
HTTP |
TCP 80 |
|
Modbus |
TCP 5021 |
|
Discovery |
UDP 27126, 27127 |
|
SNMP |
UDP 161, 162 |
|
NVL |
Valore predefinito UDP: 1202 |
|
EtherNet/IP |
UDP 2222 TCP 44818 |
|
TFTP |
UDP 69 (utilizzato solo per server FDR) |
1È possibile cambiare il valore predefinito con il comando changeModbusPort.
