Comandos de secuencia de comandos de cortafuegos
En esta sección se describe cómo se escriben los archivos de script (archivos de script predeterminados o archivos de script dinámico) para que se puedan ejecutar durante el inicio del controlador o durante la activación de un comando específico.
NOTA: Las reglas de capa MAC se gestionan por separado y tienen más prioridad que otras reglas de filtrado de paquetes.
Sintaxis de los archivos de script
La sintaxis de los archivos de script se describe en Directrices de la sintaxis de script.
Comandos generales del cortafuegos
Los siguientes comandos están disponibles para gestionar el cortafuegos de Ethernet de M241 Logic Controller:
|
Comando |
Descripción |
|---|---|
|
Firewall Enable |
Bloquea todas las tramas desde las interfaces Ethernet. Si no se autoriza ninguna dirección IP específica , no podrá haber comunicación en las interfaces Ethernet. NOTA: De manera predeterminada, cuando se habilite el cortafuegos, se rechazarán las tramas. |
|
Firewall Disable |
Las reglas del cortafuegos no se aplican. Las tramas no se bloquean |
|
Firewall Ethx Default Allow (1) |
El controlador acepta tramas. |
|
Firewall Ethx Default Reject(1) |
El controlador rechaza tramas. NOTA: De manera predeterminada, si esta línea no está presente, corresponde al comando Firewall Eth1 Default Reject. |
|
(1)Donde Ethx = oEth1: Ethernet_1 oEth2: TM4ES4 |
|
Comandos específicos del cortafuegos
Los siguientes comandos están disponibles para configurar normas del cortafuegos para puertos y direcciones específicos:
|
Comando |
Intervalo |
Descripción |
|---|---|---|
|
Firewall Eth1 Allow IP •.•.•.• |
• = 0-255 |
Se aceptan las tramas de la dirección IP especificada en todos los números y tipos de puerto. |
|
Firewall Eth1 Reject IP •.•.•.• |
• = de 0 a 255 |
Se rechazan las tramas de la dirección IP especificada en todos los números y tipos de puerto. |
|
Firewall Eth1 Allow IPs •.•.•.• to •.•.•.• |
• = de 0 a 255 |
Se aceptan las tramas de las direcciones IP dentro del intervalo especificado para todos los números y tipos de puerto. |
|
Firewall Eth1 Reject IPs •.•.•.• to •.•.•.• |
• = 0-255 |
Se rechazan las tramas de las direcciones IP dentro del intervalo especificado para todos los números y tipos de puerto. |
|
Firewall Eth1 Allow port_type port Y |
Se aceptan las tramas con el número de puerto de destino especificado. |
|
|
Firewall Eth1 Reject port_type port Y |
Se rechazan las tramas con el número de puerto de destino especificado. NOTA: Cuando está activado el reenvío de IP, las normas con puerto de rechazo solamente filtran las tramas con el controlador actual como destino. No se aplican a tramas enrutadas por el controlador actual. |
|
|
Firewall Eth1 Allow port_type ports Y1 to Y2 |
Se aceptan las tramas con un número de puerto de destino dentro del intervalo especificado. |
|
|
Firewall Eth1 Reject port_type ports Y1 to Y2 |
Se rechazan las tramas con un número de puerto de destino dentro del intervalo especificado. |
|
|
Firewall Eth1 Allow IP •.•.•.• on port_type port Y |
• = de 0 a 255 |
Se aceptan las tramas de la dirección IP especificada y con el número de puerto de destino especificado. |
|
Firewall Eth1 Reject IP •.•.•.• on port_type port Y |
• = de 0 a 255 |
Se rechazan las tramas de la dirección IP especificada y con el número de puerto de destino especificado. |
|
Firewall Eth1 Allow IP •.•.•.• on port_type ports Y1 to Y2 |
• = de 0 a 255 |
Se aceptan las tramas de la dirección IP especificada y con un número de puerto de destino dentro del intervalo especificado. |
|
Firewall Eth1 Reject IP •.•.•.• on port_type ports Y1 to Y2 |
• = de 0 a 255 |
Se rechazan las tramas de la dirección IP especificada y con un número de puerto de destino dentro del intervalo especificado. |
|
Firewall Eth1 Allow IPs •1.•1.•1.•1 to •2.•2.•2.•2 on port_type port Y |
• = de 0 a 255 |
Se aceptan las tramas de una dirección IP dentro del intervalo especificado y con el número de puerto de destino especificado. |
|
Firewall Eth1 Reject IPs •1.•1.•1.•1 to •2.•2.•2.•2 on port_type port Y |
• = de 0 a 255 |
Se rechazan las tramas de una dirección IP dentro del intervalo especificado y con el número de puerto de destino especificado. |
|
Firewall Eth1 Allow IPs •1.•1.•1.•1 to •2.•2.•2.•2 on port_type ports Y1 to Y2 |
• = de 0 a 255 |
Se aceptan las tramas de una dirección IP dentro del intervalo especificado y con un número de puerto de destino dentro del intervalo especificado. |
|
Firewall Eth1 Reject IPs •1.•1.•1.•1 to •2.•2.•2.•2 on port_type ports Y1 to Y2 |
• = de 0 a 255 |
Se rechazan las tramas de una dirección IP dentro del intervalo especificado y con un número de puerto de destino dentro del intervalo especificado. |
|
Firewall Eth1 Allow MAC ••:••:••:••:••:•• |
• = 0-F |
Se aceptan las tramas de la dirección MAC especificada ••:••:••:••:••. NOTA: Cuando se aplican las reglas para permitir la dirección MAC, sólo las direcciones MAC de la lista pueden comunicarse con el controlador, aunque se permitan otras reglas. |
|
Firewall Eth1 Reject MAC ••:••:••:••:••:•• |
• = 0-F |
Se rechazan las tramas de la dirección MAC especificada ••:••:••:••:••. |
NOTA: port_type puede ser TCP o UDP.
Ejemplo de secuencia de comandos
; Enable FireWall. All frames are rejected;
FireWall Enable;
; Allow frames on Eth1
FireWall Eth1 Default Allow;
; Block all Modbus Requests on all IP address
Firewall Eth1 Reject tcp port 502;
; Reject frames on Eth2
FireWall Eth2 Default Reject;
; Allow FTP active connection for IP address 85.16.0.17
FireWall Eth2 Allow IP 85.16.0.17 on tcp ports 20 to 21;
NOTA: Las direcciones IP se convierten al formato CIDR.
Por ejemplo:
"FireWall Eth2 Allow IPs 192.168.100.66 to 192.168.100.99 on tcp port 44818;", separado en 7:
o192.168.100.66/31
o192.168.100.68/30
o192.168.100.72/29
o192.168.100.80/28
o192.168.100.96/27
o192.168.100.128/26
o192.168.100.192/29
Para evitar un error del cortafuegos, use toda la configuración de la subred.
NOTA: Máximo 200 caracteres por línea, incluidos comentarios.
|
Protocolo |
Números de puertos de destino |
|---|---|
|
Machine Expert |
UDP 1740, 1741, 1742, 1743 TCP 1105 |
|
FTP |
TCP 21, 20 |
|
HTTP |
TCP 80 |
|
Modbus |
TCP 502 (1) |
|
Detección de Machine Expert |
UDP 27126, 27127 |
|
SNMP |
UDP 161, 162 |
|
NVL |
Valor predeterminado de UDP: 1202 |
|
EtherNet/IP |
UDP 2222 TCP 44818 |
|
TFTP |
UDP 69 (utilizado sólo para servidor FDR) |
|
(1)El valor predeterminado se puede modificar mediante el comando de modificación ModbusPort. |
|
