本节介绍如何编写脚本文件(缺省脚本文件或动态脚本文件),以便在启动控制器期间或触发的特定命令期间执行脚本文件。
注意: MAC 层规则被单独管理,其优先级高于其他包过滤规则。
脚本语法指南中描述脚本文件的语法。
提供下列命令以管理 M241 Logic Controller 以太网防火墙:
|
Command |
描述 |
|---|---|
|
Firewall Enable |
阻止来自 Ethernet 接口的帧。如果未授权指定 IP 地址,将无法在 Ethernet 接口上进行任何通讯。 注意: 缺省情况下,在启用防火墙时,将拒绝帧。 |
|
Firewall Disable |
不应用防火墙规则。不拦截帧。 |
|
Firewall Ethx Default Allow(1) |
帧 上的控制器接收。 |
|
Firewall Ethx Default Reject(1) |
帧 上的控制器拒绝。 注意: 缺省情况下,如果不存在此行,则相当于命令 Firewall Eth1 Default Reject。 |
|
(1),其中,Ethx = oEth1:Ethernet_1 oEth2:TM4ES4 |
|
提供下列命令以配置特定端口和地址的防火墙规则:
|
Command |
范围 |
描述 |
|---|---|---|
|
Firewall Eth1 Allow IP •.•.•.• |
• = 0...255 |
在所有端口号和端口类型上允许来自指定 IP 地址的帧。 |
|
Firewall Eth1 Reject IP •.•.•.• |
• = 0...255 |
在所有端口号和端口类型上拒绝来自指定 IP 地址的帧。 |
|
Firewall Eth1 Allow IPs •.•.•.• to •.•.•.• |
• = 0...255 |
所有端口号和端口类型都允许来自指定范围中的 IP 地址的帧。 |
|
Firewall Eth1 Reject IPs •.•.•.• to •.•.•.• |
• = 0...255 |
所有端口号和端口类型都拒绝来自指定范围中的 IP 地址的帧。 |
|
Firewall Eth1 Allow port_type port Y |
Y =(目标端口号) |
允许带有指定目标端口号的帧。 |
|
Firewall Eth1 Reject port_type port Y |
Y =(目标端口号) |
拒绝带有指定目标端口号的帧。 注意: 启用 IP 转发后,仅拒绝端口规则在筛选帧时将当前控制器作为目标。这些规则对于当前控制器路由的帧不适用。 |
|
Firewall Eth1 Allow port_type ports Y1 to Y2 |
Y =(目标端口号) |
允许带有指定范围中的目标端口号的帧。 |
|
Firewall Eth1 Reject port_type ports Y1 to Y2 |
Y =(目标端口号) |
拒绝带有指定范围中的目标端口号的帧。 |
|
Firewall Eth1 Allow IP •.•.•.• on port_type port Y |
• = 0...255 Y =(目标端口号) |
允许来自指定 IP 地址并带有指定目标端口号的帧。 |
|
Firewall Eth1 Reject IP •.•.•.• on port_type port Y |
• = 0...255 Y =(目标端口号) |
拒绝来自指定 IP 地址并带有指定目标端口号的帧。 |
|
Firewall Eth1 Allow IP •.•.•.• on port_type ports Y1 to Y2 |
• = 0...255 Y =(目标端口号) |
允许来自指定 IP 地址并带有指定范围中的目标端口号的帧。 |
|
Firewall Eth1 Reject IP •.•.•.• on port_type ports Y1 to Y2 |
• = 0...255 Y =(目标端口号) |
拒绝来自指定 IP 地址并带有指定范围中的目标端口号的帧。 |
|
Firewall Eth1 Allow IPs •1.•1.•1.•1 to •2.•2.•2.•2 on port_type port Y |
• = 0...255 Y =(目标端口号) |
允许来自指定范围中的 IP 地址并带有指定目标端口号的帧。 |
|
Firewall Eth1 Reject IPs •1.•1.•1.•1 to •2.•2.•2.•2 on port_type port Y |
• = 0...255 Y =(目标端口号) |
拒绝来自指定范围中的 IP 地址并带有指定目标端口号的帧。 |
|
Firewall Eth1 Allow IPs •1.•1.•1.•1 to •2.•2.•2.•2 on port_type ports Y1 to Y2 |
• = 0...255 Y =(目标端口号) |
允许来自指定范围中的 IP 地址并带有指定范围中的目标端口号的帧。 |
|
Firewall Eth1 Reject IPs •1.•1.•1.•1 to •2.•2.•2.•2 on port_type ports Y1 to Y2 |
• = 0...255 Y =(目标端口号) |
拒绝来自指定范围中的 IP 地址并带有指定范围中的目标端口号的帧。 |
|
Firewall Eth1 Allow MAC ••:••:••:••:••:•• |
• = 0...F |
允许来自指定 MAC 地址 ••:••:••:••:•• 的帧。 注意: 当应用了允许 MAC 地址的规则时,即便允许其他规则,也只有列出的 MAC 地址才能够与控制器通讯。 |
|
Firewall Eth1 Reject MAC ••:••:••:••:••:•• |
• = 0...F |
拒绝带有指定 MAC 地址 ••:••:••:••:•• 的帧。 |
注意: port_type 可以是 TCP 或 UDP。
; Enable FireWall. All frames are rejected;
FireWall Enable;
; Allow frames on Eth1
FireWall Eth1 Default Allow;
; Block all Modbus Requests on all IP address
Firewall Eth1 Reject tcp port 502;
; Reject frames on Eth2
FireWall Eth2 Default Reject;
; Allow FTP active connection for IP address 85.16.0.17
FireWall Eth2 Allow IP 85.16.0.17 on tcp ports 20 to 21;
注意: IP 地址被转换为 CIDR 格式。
例如:
"FireWall Eth2 Allow IPs 192.168.100.66 to 192.168.100.99 on tcp port 44818;",划分为以下 7 个部分:
o192.168.100.66/31
o192.168.100.68/30
o192.168.100.72/29
o192.168.100.80/28
o192.168.100.96/27
o192.168.100.128/26
o192.168.100.192/29
如要防止防火墙错误,请使用完整的子网配置。
注意: 每行字符数不超过 200 个(包括注释)。
|
协议 |
目标端口号 |
|---|---|
|
Machine Expert |
UDP 1740、1741、1742、1743 TCP 1105 |
|
FTP |
TCP 21、20 |
|
HTTP |
TCP 80 |
|
Modbus |
TCP 502 (1) |
|
Machine Expert Discovery |
UDP 27126、27127 |
|
SNMP |
UDP 161、162 |
|
NVL |
UDP 缺省值:1202 |
|
EtherNet/IP |
UDP 2222 TCP 44818 |
|
TFTP |
UDP 69(仅用于 FDR 服务器) |
|
(1)可使用 ModbusPort 命令更改缺省值。 |
|
