In diesem Abschnitt wird beschrieben, wie Skriptdateien (Standardskriptdateien oder dynamische Skriptdateien) geschrieben werden müssen, damit sie beim Start der Steuerung bzw. bei einem bestimmten ausgelösten Befehl korrekt ausgeführt werden können.
Die Syntax von Skriptdateien wird in den Richtlinien für die Skriptsyntax beschrieben.
Für die Verwaltung der Ethernet-Firewall des M241 Logic Controller sind folgende Befehle verfügbar:
|
Befehl |
Beschreibung |
|---|---|
|
|
Blockiert die Frames von den Ethernet-Schnittstellen. Wenn keiner bestimmten IP-Adresse entsprechende Berechtigungen zugewiesen werden, ist eine Kommunikation über die Ethernet-Schnittstellen nicht möglich.
HINWEIS: Standardmäßig werden die Frames bei aktivierter Firewall abgewiesen.
|
|
|
Firewall-Regeln werden nicht angewendet. Frames werden nicht blockiert. |
|
|
Frames werden von der Steuerung angenommen. |
|
|
Frames werden von der Steuerung abgewiesen.
HINWEIS: Wenn diese Zeile nicht vorhanden ist, wird standardmäßig der Befehl
Firewall Eth1 Default Reject verwendet.
|
|
(1) Hierbei gilt: Ethx =
|
|
Für die Konfiguration der Firewallregeln für bestimmte Ports und Adressen sind folgende Befehle verfügbar:
|
Befehl |
Bereich |
Beschreibung |
|---|---|---|
|
|
• = 0 bis 255 |
Die Frames von den genannten IP-Adressen sind für alle Portnummern und Porttypen zugelassen. |
|
|
• = 0 bis 255 |
Die Frames von den genannten IP-Adressen werden für alle Portnummern und Porttypen abgewiesen. |
|
|
• = 0 bis 255 |
Die Frames von den IP-Adressen im genannten Bereich sind für alle Portnummern und Porttypen zugelassen. |
|
|
• = 0 bis 255 |
Die Frames von den IP-Adressen im genannten Bereich werden für alle Portnummern und Porttypen abgewiesen. |
|
|
Y = (Zielportnummern) |
Die Frames mit der genannten Zielportnummer sind zugelassen. |
|
|
Y = (Zielportnummern) |
Die Frames mit der genannten Zielportnummer werden zurückgewiesen.
HINWEIS: Wenn die IP-Weiterleitung aktiviert ist, filtern Regeln mit Reject-Port (Zurückweisungsport) nur Frames mit aktueller Steuerung als Ziel. Sie werden nicht auf die von der aktuellen Steuerung weitergeleiteten Frames angewendet.
|
|
|
Y = (Zielportnummern) |
Die Frames mit einer Zielportnummer im genannten Bereich sind zugelassen. |
|
|
Y = (Zielportnummern) |
Die Frames mit einer Zielportnummer im genannten Bereich werden abgewiesen. |
|
|
• = 0 bis 255 Y = (Zielportnummern) |
Die Frames von der genannten IP-Adresse und mit der genannten Zielportnummer sind zugelassen. |
|
|
• = 0 bis 255 Y = (Zielportnummern) |
Die Frames von der genannten IP-Adresse und mit der genannten Zielportnummer werden abgewiesen. |
|
|
• = 0 bis 255 Y = (Zielportnummern) |
Die Frames von der genannten IP-Adresse und mit einer Zielportnummer im genannten Bereich sind zugelassen. |
|
|
• = 0 bis 255 Y = (Zielportnummern) |
Die Frames von der genannten IP-Adresse und mit einer Zielportnummer im genannten Bereich werden abgewiesen. |
|
|
• = 0 bis 255 Y = (Zielportnummern) |
Die Frames von einer IP-Adresse im genannten Bereich und mit der genannten Zielportnummer werden zugelassen. |
|
|
• = 0 bis 255 Y = (Zielportnummern) |
Die Frames von einer IP-Adresse im genannten Bereich und mit der genannten Zielportnummer werden abgewiesen. |
|
|
• = 0 bis 255 Y = (Zielportnummern) |
Die Frames von einer IP-Adresse im genannten Bereich und mit einer Zielportnummer im genannten Bereich sind zugelassen. |
|
|
• = 0 bis 255 Y = (Zielportnummern) |
Die Frames von einer IP-Adresse im genannten Bereich und mit einer Zielportnummer im genannten Bereich werden abgewiesen. |
|
|
• = 0...F |
Die Frames von der genannten MAC-Adresse ••:••:••:••:•• sind zugelassen.
HINWEIS: Wenn Zulassungsregeln für MAC-Adressen angewendet werden, können nur die aufgelisteten MAC-Adressen mit der Steuerung kommunizieren, auch wenn andere Regeln zulässig sind.
|
|
|
• = 0...F |
Die Frames mit der genannten MAC-Adresse ••:••:••:••:•• werden abgewiesen. |
; Enable FireWall. All frames are rejected;
FireWall Enable;
; Allow frames on Eth1
FireWall Eth1 Default Allow;
; Block all Modbus Requests on all IP address
Firewall Eth1 Reject tcp port 502;
; Reject frames on Eth2
FireWall Eth2 Default Reject;
; Allow Fast TCP on interface ETH1. This allow to connect to the controller using TCP
Firewall Eth1 Allow TCP port 1105;
; Allow FTP active connection for IP address 85.16.0.17
FireWall Eth2 Allow IP 85.16.0.17 on tcp ports 20 to 21;
Beispiel:
"FireWall Eth2 Allow IPs 192.168.100.66 to 192.168.100.99 on tcp port 44818;", wird in 7 Teile untergliedert:
192.168.100.66/31
192.168.100.68/30
192.168.100.72/29
192.168.100.80/28
192.168.100.96/27
192.168.100.128/26
192.168.100.192/29
Um einen Firewall-Fehler zu vermeiden, verwenden Sie die gesamte Subnetzkonfiguration.
|
Protokoll |
Zielportnummern |
|---|---|
|
Machine Expert |
UDP 1740, 1741, 1742, 1743 TCP 1105 |
|
FTP |
TCP 21 |
|
HTTP / HTTPS |
TCP 80, 443 (Webserver) TCP 8080 (Web-Visualisierung) |
|
Modbus |
TCP 502 (1) |
|
OPC UA |
TCP 4840 |
|
Machine Expert Discovery |
UDP 27126, 27127 |
|
SNMP |
UDP 161, 162 |
|
NVL |
UDP-Standardwert: 1202 |
|
EtherNet/IP |
UDP 2222 TCP 44818 |
|
TFTP |
UDP 69 (nur für FDR-Server verwendet) |
|
(1) Der Standardwert kann über den ModbusPort-Änderungsbefehl geändert werden. |
|