本节介绍如何编写脚本文件(缺省脚本文件或动态脚本文件),以便在启动控制器期间或触发的特定命令期间执行脚本文件。
注意: MAC 层规则单独管理,优先级高于其他数据包筛选规则。
脚本语法指南中描述脚本文件的语法。
提供下列命令以管理 M251 Logic Controller 以太网防火墙:
|
Command |
描述 |
|---|---|
|
FireWall Enable |
阻止来自 Ethernet 接口的帧。如果未授权指定 IP 地址,将无法在 Ethernet 接口上进行任何通讯。 注意: 缺省情况下,在启用防火墙时,将拒绝帧。 |
|
FireWall Disable |
允许 IP 地址在 Ethernet 接口上访问控制器。 |
|
FireWall Ethx Default Allow(1) |
控制器接受帧。 |
|
FireWall Ethx Default Reject(1) |
控制器拒绝帧。 注意: 缺省情况下,如果不存在此行,则相当于命令 FireWall Eth1 Default Reject。 |
|
(1),其中,Ethx = 对于 TM251MESC: oEth1:Ethernet_1 对于 TM251MESE: oEth1:Ethernet_1 oEth2:Ethernet_2 |
|
提供下列命令以配置特定端口和地址的防火墙规则:
|
Command |
范围 |
描述 |
|---|---|---|
|
Firewall Eth1 Allow IP •.•.•.• |
• = 0...255 |
在所有端口号和端口类型上允许来自指定 IP 地址的帧。 |
|
Firewall Eth1 Reject IP •.•.•.• |
• = 0...255 |
在所有端口号和端口类型上拒绝来自指定 IP 地址的帧。 |
|
Firewall Eth1 Allow IPs •.•.•.• to •.•.•.• |
• = 0...255 |
所有端口号和端口类型都允许来自指定范围中的 IP 地址的帧。 |
|
Firewall Eth1 Reject IPs •.•.•.• to •.•.•.• |
• = 0...255 |
所有端口号和端口类型都拒绝来自指定范围中的 IP 地址的帧。 |
|
Firewall Eth1 Allow port_type port Y |
Y =(目标端口号) |
允许带有指定目标端口号的帧。 |
|
Firewall Eth1 Reject port_type port Y |
Y =(目标端口号) |
拒绝带有指定目标端口号的帧。 注意: 启用 IP 转发后,仅拒绝端口规则在筛选帧时将当前控制器作为目标。这些规则对于当前控制器路由的帧不适用。 |
|
Firewall Eth1 Allow port_type ports Y1 to Y2 |
Y =(目标端口号) |
允许带有指定范围中的目标端口号的帧。 |
|
Firewall Eth1 Reject port_type ports Y1 to Y2 |
Y =(目标端口号) |
拒绝带有指定范围中的目标端口号的帧。 |
|
Firewall Eth1 Allow IP •.•.•.• on port_type port Y |
• = 0...255 Y =(目标端口号) |
允许来自指定 IP 地址并带有指定目标端口号的帧。 |
|
Firewall Eth1 Reject IP •.•.•.• on port_type port Y |
• = 0...255 Y =(目标端口号) |
拒绝来自指定 IP 地址并带有指定目标端口号的帧。 |
|
Firewall Eth1 Allow IP •.•.•.• on port_type ports Y1 to Y2 |
• = 0...255 Y =(目标端口号) |
允许来自指定 IP 地址并带有指定范围中的目标端口号的帧。 |
|
Firewall Eth1 Reject IP •.•.•.• on port_type ports Y1 to Y2 |
• = 0...255 Y =(目标端口号) |
拒绝来自指定 IP 地址并带有指定范围中的目标端口号的帧。 |
|
Firewall Eth1 Allow IPs •1.•1.•1.•1 to •2.•2.•2.•2 on port_type port Y |
• = 0...255 Y =(目标端口号) |
允许来自指定范围中的 IP 地址并带有指定目标端口号的帧。 |
|
Firewall Eth1 Reject IPs •1.•1.•1.•1 to •2.•2.•2.•2 on port_type port Y |
• = 0...255 Y =(目标端口号) |
拒绝来自指定范围中的 IP 地址并带有指定目标端口号的帧。 |
|
Firewall Eth1 Allow IPs •1.•1.•1.•1 to •2.•2.•2.•2 on port_type ports Y1 to Y2 |
• = 0...255 Y =(目标端口号) |
允许来自指定范围中的 IP 地址并带有指定范围中的目标端口号的帧。 |
|
Firewall Eth1 Reject IPs •1.•1.•1.•1 to •2.•2.•2.•2 on port_type ports Y1 to Y2 |
• = 0...255 Y =(目标端口号) |
拒绝来自指定范围中的 IP 地址并带有指定范围中的目标端口号的帧。 |
|
Firewall Eth1 Allow MAC ••:••:••:••:••:•• |
• = 0...F |
允许来自指定 MAC 地址 ••:••:••:••:•• 的帧。 注意: 如果使用的是允许 MAC 地址规则,只有列出 MAC 地址可以与控制器通讯,即便也应用了其他允许规则。 |
|
Firewall Eth1 Reject MAC ••:••:••:••:••:•• |
• = 0...F |
拒绝带有指定 MAC 地址 ••:••:••:••:•• 的帧。 |
注意: port_type 可以是 TCP 或 UDP。
; Enable firewall on Ethernet 1. All frames are rejected;
FireWall Enable;
; Block all Modbus Requests on all IP address
Firewall Eth1 Reject tcp port 502;
; Allow FTP active connection for IP address 85.16.0.17
Firewall Eth1 Allow IP 85.16.0.17 on tcp ports 20 to 21;
|
协议 |
目标端口号 |
|---|---|
|
Machine Expert |
UDP 1740、1741、1742、1743 TCP 1105 |
|
FTP |
TCP 21、20 |
|
HTTP |
TCP 80 |
|
Modbus |
TCP 5021 |
|
Discovery |
UDP 27126、27127 |
|
SNMP |
UDP 161、162 |
|
NVL |
UDP 缺省值:1202 |
|
EtherNet/IP |
UDP 2222 TCP 44818 |
|
TFTP |
UDP 69(仅用于 FDR 服务器) |
1可使用 changeModbusPort 命令更改缺省值。
