Konfigurationsdatei

Überblick

Die IPv4-Firewallregeln (Internet Protocol version 4) werden in einer Konfigurationsdatei gespeichert, die sich im Verzeichnis ide0:/Firewall/IPv4_rules.cfg auf der Speicherkarte der LMC-Steuerung befindet. (IPv6 wird von Steuerung der Baureihe PacDrive LMC nicht unterstützt).

Die Steuerung liest die Konfigurationsdatei während des Bootvorgangs und konfiguriert die Firewall entsprechend.

Die folgenden Diagnosemeldungen werden in diesem (regulären) Fall im Meldungslogger angezeigt:

Diagnosecode	Diagnosemeldung	Diagnoseklasse
8251	Firewall Aktiviert	Meldung (1)
8256	Firewall Konfigurationsdatei geladen	Meldung (1)

Wenn die Konfigurationsdatei nicht vorhanden ist, wird die Firewall mit vordefinierten Standardregeln generiert.

In diesem Fall wird eine zusätzliche Diagnosemeldung (Firewall configuration file created) im Meldungslogger angezeigt:

Diagnosecode	Diagnosemeldung	Diagnoseklasse
8251	Firewall Aktiviert	Meldung (1)
8256	Firewall Konfigurationsdatei geladen	Meldung (1)
8257	Firewall Konfigurationsdatei erstellt	Meldung (1)

Weitere Meldungen finden Sie im Abschnitt Firewallbezogene Diagnosemeldungen.

Automatisch generierte Konfigurationsdatei

Der folgende Codeausschnitt enthält den Inhalt der automatisch generierten Konfigurationsdatei:

Reihe	Code
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20	block in on fei0 all block in on gei0 all pass out quick from any to any keep state pass in quick proto icmp from any to me keep state pass in quick proto tcp from any to me port = 20 keep state pass in quick proto tcp from any to me port = 21 keep state pass in quick proto tcp from any to me port = 1105 keep state pass in quick proto tcp from any to me port = 4840 keep state pass in quick proto tcp from any to me port = 5000 keep state pass in quick proto tcp from any to me port = 8080 keep state pass in quick proto tcp from any to me port = 11740 keep state pass in quick proto udp from any to me port = 1202 keep state pass in quick proto udp from any to me port = 1203 keep state pass in quick proto udp from any to me port = 1740 keep state pass in quick proto udp from any to me port = 1741 keep state pass in quick proto udp from any to me port = 1742 keep state pass in quick proto udp from any to me port = 1743 keep state pass in quick proto udp from any to me port = 27127 keep state # pass in quick proto tcp from any to any port = 50000 keep state # pass in quick proto udp from any to any port = 35021 keep state

Reihe

Code

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20

block in on fei0 all
block in on gei0 all
pass out quick from any to any keep state
pass in quick proto icmp from any to me keep state
pass in quick proto tcp from any to me port = 20 keep state
pass in quick proto tcp from any to me port = 21 keep state
pass in quick proto tcp from any to me port = 1105 keep state
pass in quick proto tcp from any to me port = 4840 keep state
pass in quick proto tcp from any to me port = 5000 keep state
pass in quick proto tcp from any to me port = 8080 keep state
pass in quick proto tcp from any to me port = 11740 keep state
pass in quick proto udp from any to me port = 1202 keep state
pass in quick proto udp from any to me port = 1203 keep state
pass in quick proto udp from any to me port = 1740 keep state
pass in quick proto udp from any to me port = 1741 keep state
pass in quick proto udp from any to me port = 1742 keep state
pass in quick proto udp from any to me port = 1743 keep state
pass in quick proto udp from any to me port = 27127 keep state
# pass in quick proto tcp from any to any port = 50000 keep state
# pass in quick proto udp from any to any port = 35021 keep state

Weitere Informationen finden Sie im Kapitel Anwendungen/Ports (Standard-Firewallkonfiguration).

oDie ersten beiden Zeilen blockieren den gesamten eingehenden Datenverkehr am Ethernet-Port (fei0 = PacDrive LMC Eco und PacDrive LMC Pro, gei0 = PacDrive LMC Pro2).

oDie dritte Zeile ermöglicht die zustandsorientierte Überprüfung für alle ausgehenden Verbindungen.

oDie vierte Zeile lässt beispielsweise Ping-Anforderungen für alle eingehenden ICMP-Pakete (Internet Control Message Protocol) zu.

oDie folgenden Zeilen lassen eingehenden TCP- (Transmission Control Protocol) oder UDP-Datenverkehr (User Datagram Protocol) für bekannte Dienste auf definierten Ports zu.

oDie letzten zwei Zeilen enthalten deaktivierte Regeln für den NAT-Mechanismus (Network Address Translation) für TM5CSLC•00.

Sie können die Datei auf der Speicherkarte so bearbeiten, dass dauerhaft der gesamte eingehende Datenverkehr für weitere Anwenungen/Ports zulässig ist. Abgesehen vom anfänglichen Generierungsprozess wird die Datei nicht automatisch durch die Firmware der Steuerung PacDrive LMC geändert.

Firewallregeln

Informationen zu Syntax und Schlüsselwörtern finden Sie in Kapitel Firewallregeln.

Zustandsorientierte Überprüfung (keep state)

Bei der zustandsorientierten Überprüfung werden die Transportschicht-Header in Datenpaketen analysiert, um den Zustand der Netzwerkverbindungen zu verfolgen. Anhand dieser Header-Informationen wird bei der zustandsorientierten Überprüfung festgestellt, ob es sich bei jedem Paket um eine neue Verbindungsanforderung oder um ein Paket handelt, das zu einer zuvor eingerichteten Verbindung gehört. Sie können Filterregeln erstellen, um Pakete basierend auf den Zustandsregeln zuzulassen oder zu blockieren. Bei der zustandsorientierten Überprüfung wird der Zustand für TCP-Pakete (Transmission Control Protocol), UDP-Pakete (User Datagram Protocol) und ICMP-Echopakete (Internet Control Message Protocol) beibehalten.

Die zustandsorientierte Überprüfung einer Firewall erfordert eine Regel mit einem keep state-Schlüsselwort, um einen Zustandsverfolgungseintrag für ein- oder ausgehende Pakete zu erstellen. Wenn ein Paket der Regel entspricht, öffnet die Firewall vorübergehend einen Port für Pakete, die als Reaktion auf eine solche Anforderung eintreffen.

Die Firewall gleicht dann Pakete mit aktiven Zustandseinträgen ab, bevor andere Regeln überprüft werden. Wenn ein passender Zustandseintrag vorhanden ist, umgeht die Firewall andere Regeln und akzeptiert das Paket. Ist der Zustandseintrag abgelaufen, wird das Paket anhand der verbleibenden Regeln im Regelsatz geprüft.

Der Zustandsverfolgungseintrag enthält die folgenden Informationen:

oQuell- und Ziel-IP-Adressen

oQuell- und Zielports für TCP und UDP

oICMP-ID und Sequenznummer für ICMP-Echo

Fehlerbehandlung

Wenn die Konfigurationsdatei ungültig ist oder beim Lesen ein Fehler festgestellt wurde, werden die Standardregeln geladen, um eine bestimmte Sicherheitsstufe zu gewährleisten. Die Konfigurationsdatei auf der Speicherkarte wird nicht geändert.

Eine Fehlermeldung (8254) und eine Informationsmeldung (8255) werden in den Meldungslogger geschrieben:

Diagnosecode	Diagnosemeldung	Diagnoseklasse
8251	Firewall Aktiviert	Meldung (1)
8255	Firewall Standardregeln angewandt	Warnung (2)
8254	Firewall Konfigurationsdatei fehlerhaft	Fehler (3)

Weitere Meldungen finden Sie im Abschnitt Firewallbezogene Diagnosemeldungen.

Zurücksetzen der Konfiguration

Zum Zurücksetzen der Firewallkonfiguration löschen Sie die Konfigurationsdatei, und starten Sie den Logic Motion Controller neu, oder rufen Sie einmal FC_LoadDefaultPortRules auf. Danach wird eine neue Firewallkonfigurationsdatei mit Standardregeln generiert.