Comandi di script del firewall
Questa sezione descrive come i file di script (file di script predefinito o file di script dinamico) vengono scritti in modo da poter essere eseguiti durante l'avvio del controller o durante uno specifico comando attivato.
NOTA: Le regole di stratificazione MAC vengono gestite separatamente e hanno una priorità maggiore rispetto alle altre regole di filtro pacchetto.
La sintassi dei file di script è descritta in Creazione di uno script
I comandi seguenti sono disponibili per la gestione del firewall Ethernet del M262 Logic/Motion Controller:
|
Comando |
Descrizione |
|---|---|
|
Firewall Enable |
Blocca i frame dalle interfacce Ethernet. Se nessun indirizzo IP o porta specifica sono autorizzati, non è possibile comunicare sulle interfacce Ethernet. NOTA: Per impostazione predefinita, quando il firewall è attivato, vengono rifiutati i frame. |
|
Firewall Disable |
Gli indirizzi IP possono accedere al controller su tutte le interfacce Ethernet. |
|
Firewall Ethx Default Allow(1) |
I frame vengono accettati dal controller sull’interfaccia Ethx. |
|
Firewall Ethx Default Reject(1) |
I frame vengono accettati dal controller sull’interfaccia Ethx. NOTA: Per impostazione predefinita, se questa riga non è presente, corrisponde al comando Firewall Eth1 Default Reject. |
|
(1)Dove Ethx = oEth0: porta USB oEth1: Ethernet_1 oEth2: Ethernet_2 oEth3: TMSES4 |
|
Comandi specifici del firewall
I comandi seguenti sono disponibili per configurare le regole del firewall per indirizzi e porte specifiche:
|
Comando |
Intervallo |
Descrizione |
|---|---|---|
|
Firewall Eth1 Allow IP •.•.•.• |
• = 0 - 255 |
I frame provenienti dall'indirizzo IP specificato sono consentiti su tutti i numeri di porte e i tipi di porte. |
|
Firewall Eth1 Reject IP •.•.•.• |
• = 0 - 255 |
I frame provenienti dall'indirizzo IP specificato sono rifiutati su tutti i numeri di porte e i tipi di porte. |
|
Firewall Eth1 Allow IPs •.•.•.• to •.•.•.• |
• = 0 - 255 |
I frame provenienti dagli indirizzi IP nell'intervallo specificato sono consentiti per tutti i numeri di porte e i tipi di porte. NOTA: Le regole di una gamma di indirizzi IP specifici verranno convertite nel formato CIDR nel controller quando saranno stabilite. Esempio: “Il firewall Eth2 consente gli indirizzi IP da 192.168.100.66 a 192.168.100.99 sulla porta TCP 44818” è diviso in 7: o192.168.100.66/31 o192.168.100.68/30 o192.168.100.72/29 o192.168.100.80/28 o192.168.100.96/27 o192.168.100.128/26 o192.168.100.192/29 L'utilizzo di un'intera gamma IP sottorete impedisce la saturazione delle regole del firewall. |
|
Firewall Eth1 Reject IPs •.•.•.• to •.•.•.• |
• = 0 - 255 |
I frame provenienti dagli indirizzi IP nell'intervallo specificato sono rifiutati per tutti i numeri di porte e i tipi di porte. |
|
Firewall Eth1 Allow port_type port Y |
I frame con il numero della porta di destinazione specificato sono consentiti. |
|
|
Firewall Eth1 Reject port_type port Y |
I frame con il numero della porta di destinazione specificato sono rifiutati. |
|
|
Firewall Eth1 Allow port_type ports Y1 to Y2 |
I frame con un numero della porta di destinazione nell'intervallo specificato sono consentiti. |
|
|
Firewall Eth1 Reject port_type ports Y1 to Y2 |
I frame con un numero della porta di destinazione nell'intervallo specificato sono rifiutati. |
|
|
Firewall Eth1 Allow IP •.•.•.• on port_type port Y |
• = 0 - 255 |
I frame provenienti dall'indirizzo IP specificato e con il numero della porta di destinazione specificato sono consentiti. |
|
Firewall Eth1 Reject IP •.•.•.• on port_type port Y |
• = 0 - 255 |
I frame provenienti dall'indirizzo IP specificato e con il numero della porta di destinazione specificato sono rifiutati. |
|
Firewall Eth1 Allow IP •.•.•.• on port_type ports Y1 to Y2 |
• = 0 - 255 |
I frame provenienti dall'indirizzo IP specificato e con un numero della porta di destinazione nell'intervallo specificato sono consentiti. |
|
Firewall Eth1 Reject IP •.•.•.• on port_type ports Y1 to Y2 |
• = 0 - 255 |
I frame provenienti dall'indirizzo IP specificato e con un numero della porta di destinazione nell'intervallo specificato sono rifiutati. |
|
Firewall Eth1 Allow IPs •1.•1.•1.•1 to •2.•2.•2.•2 on port_type port Y |
• = 0 - 255 |
I frame provenienti da un indirizzo IP nell'intervallo specificato e con il numero di porta di destinazione specificato sono consentiti. |
|
Firewall Eth1 Reject IPs •1.•1.•1.•1 to •2.•2.•2.•2 on port_type port Y |
• = 0 - 255 |
I frame provenienti da un indirizzo IP nell'intervallo specificato e con il numero di porta di destinazione specificato sono rifiutati. |
|
Firewall Eth1 Allow IPs •1.•1.•1.•1 to •2.•2.•2.•2 on port_type ports Y1 to Y2 |
• = 0 - 255 |
I frame provenienti da un indirizzo IP nell'intervallo specificato e con il numero di porta di destinazione nell'intervallo specificato sono consentiti. |
|
Firewall Eth1 Reject IPs •1.•1.•1.•1 to •2.•2.•2.•2 on port_type ports Y1 to Y2 |
• = 0 - 255 |
I frame provenienti da un indirizzo IP nell'intervallo specificato e con il numero di porta di destinazione nell'intervallo specificato sono rifiutati. |
|
Firewall Eth1 Allow MAC ••:••:••:••:••:•• |
• = 0 - F |
I frame provenienti dall'indirizzo MAC ••:••:••:••:•• specificato sono consentiti. NOTA: Quando vengono applicate le regole che consentono l’indirizzo MAC, solo gli indirizzi MAC elencati possono comunicare con il controller, anche se altre regole lo consentono. |
|
Firewall Eth1 Reject MAC ••:••:••:••:••:•• |
• = 0 - F |
I frame provenienti dall'indirizzo MAC ••:••:••:••:•• specificato sono rifiutati. |
|
Firewall Ethx (1) Established to port_type port Y |
Y = 0...65535 |
I frame stabiliti dal controller con i protocolli TCP/UDP per il numero di porta di destinazione specificato sono consentiti. |
|
(1) Se: ox=0, porta USB. ox=1, porta Ethernet 1. ox=2, porta Ethernet 2. ox=3, porta Ethernet di TMSES4. |
||
NOTA: Quando viene attivato l’IP di inoltro, le regole con la Porta di rifiuto filtrano solo i frame con il controller attuale come destinazione. Non vengono applicate ai frame instradati dal controller attuale.
; Enable FireWall. All frames are rejected;
FireWall Enable;
; Allow frames on Eth1
FireWall Eth1 Default Allow;
; Block all Modbus Requests on all IP address
Firewall Eth1 Reject tcp port 502;
; Reject frames on Eth2
FireWall Eth2 Default Reject;
; Allow FTP active connection for IP address 85.16.0.17
FireWall Eth2 Allow IP 85.16.0.17 on tcp ports 20 to 21;
Di seguito viene riportato un esempio di Firewall in modalità white list. Nell'esempio, tutte le comunicazioni sono bloccate per impostazione predefinita e vengono consentiti solo i servizi necessari.
NOTA: Questo esempio è progettato per mostrare la maggior parte dei comandi disponibili con il firewall. Deve essere adattato alla configurazione e testato prima dell'implementazione.
|
Comandi |
Commenti |
|
Firewall Enable |
; abilita il firewall. |
|
Configurazione Eth1 |
|
|
Firewall Eth1 Default Reject |
; rifiuta tutti i frame sull'interfaccia ETH1. ; in questo esempio, ETH1 è collegato alla rete di dispositivi Industrial Ethernet, quindi è possibile considerarlo affidabile. |
|
Firewall Eth1 Allow TCP port 502 |
; consente il server Modbus TCP sull'interfaccia ETH1. ; non è presente alcuna autenticazione sul Modbus, quindi deve essere consentito solo su reti affidabili. |
|
Firewall Eth1 Established to TCP port 502 |
; consente risposte a comunicazioni stabilite dal controller alla porta TCP 502. ; ciò è necessario quando viene utilizzata la libreria PlcCommunication per comunicare utilizzando il protocollo Modbus TCP. |
|
Firewall Eth1 Allow UDP port 2222 |
; consente allo scanner ETHIP scambi impliciti di risposte alla porta UDP 2222 (ETHIP) sull'interfaccia ETH1. |
|
Firewall Eth1 Established to TCP port 44818 |
; consente risposte a comunicazioni stabilite dal controller alla porta TCP 44818 (ETHIP) sull’interfaccia ETH1. ; gli ultimi 2 comandi consentono allo scanner EtheNetIP di comunicare con i dispositivi Ethernet industriali. |
|
Configurazione Eth2 |
|
|
Firewall Eth2 Default Reject |
; rifiuta tutti i frame sull'interfaccia ETH2. Questa interfaccia è collegata alla rete utilizzata principalmente per la messa in servizio.. |
|
Firewall Eth2 Allow TCP port 4840 |
; consente il server OPC-UA sull'interfaccia ETH2. |
|
Firewall Eth2 Allow TCP port 443 |
; consente il server Web (https) sull'interfaccia ETH2. |
|
Firewall Eth2 Allow TCP port 8089 |
; consente il Web visu (https) sull'interfaccia ETH2. |
|
Firewall Eth2 Allow TCP port 20 to 21 |
; consente ftp in modalità attiva sull'interfaccia ETH2. |
|
Firewall Eth2 Allow IP 192.168.1.1 on UDP ports 27126 to 27127 |
: consente l'IP per il PC di messa in servizio per individuare e configurare l'indirizzo IP del controller. ; ciò dovrebbe essere consentito solo su una rete affidabile perché l’IP può essere modificato anche quando i Diritti utente sono configurati. |
|
Firewall Eth2 Allow IP 192.168.1.1 to IP 192.168.1.2 on UDP port 1740 |
; consente l'IP del PC di messa in servizio e un HMI per comunicare con il controller utilizzando il protocollo Machine Expert. |
|
Firewall Eth2 Allow TCP port 11740 |
; consente Fast TCP sull'interfaccia ETH2. Ciò consente di collegare il controller utilizzando TCP. |
|
Firewall Eth2 Allow TCP port 2222 |
; consente la comunicazione implicita con la porta UDP 2222 (ETHIP) sull'interfaccia ETH2. |
|
Firewall Eth2 Allow TCP port 44818 |
; consente la comunicazione esplicita con la porta TCP 44818 (ETHIP) sull'interfaccia ETH2. Gli ultimi 2 comandi consentono di utilizzare il controller come adattatore EtherNetIP. |
|
Firewall Eth2 Allow MAC 4C:CC:6A:A1:09:C8 |
; consente l'indirizzo MAC dell'HMI. |
|
Firewall Eth2 Allow MAC 00:0C:29:92:43:A8 |
; consente l'indirizzo MAC del PC di messa in servizio. Solo gli indirizzi MAC consentiti possono comunicare con il controller. |
|
Configurazione Eth3 TMSES4 |
|
|
Firewall Eth3 Default Reject |
; rifiuta i frame su TMSES4. Questa interfaccia è collegata alla rete dell’impianto e può accedere al Web. Dovrebbe essere considerato come non affidabile. |
|
Firewall Eth3 Established to TCP port 443 |
; consente il client http ( ad esempio per il collegamento a Machine Advisor) sull’interfaccia TMSES4. |
|
Firewall Eth3 Allow TCP port 11740 |
; consente Fast TCP sull'interfaccia TMSES4. Ciò consente il collegamento da remoto al controller. Non dovrebbe essere consentito a meno che i Diritti utente siano attivati sul controller. |
NOTA: I caratteri sono limitati a 200 per riga, compresi i commenti.
|
Protocollo |
Numeri porta di destinazione |
|---|---|
|
Machine Expert |
UDP 1740, 1741, 1742, 1743 TCP 11740 |
|
FTP |
TCP 21, 20 |
|
HTTP |
TCP 80 |
|
HTTPS |
TCP 443 |
|
Modbus |
TCP 502 |
|
Machine Expert Discovery |
UDP 27126, 27127 |
|
Rilevamento dinamico Web Services |
UDP 3702 TCP 5357 |
|
SNMP |
UDP 161, 162 |
|
NVL |
Valore predefinito UDP: 1202 |
|
EtherNet/IP |
UDP 2222 TCP 44818 |
|
Visualizzazione Web |
HTTP 8080 HTTPS 8089 |
|
TFTP |
UDP 69 (utilizzato solo per server FDR) |
|
SafeLogger |
UDP 35021, 45000 |
|
Machine Assistant |
UDP 45001...45004 |
