Skriptbefehle für die Firewall

Überblick

In diesem Abschnitt wird beschrieben, wie Skriptdateien (Standardskriptdateien oder dynamische Skriptdateien) geschrieben werden müssen, damit sie beim Start der Steuerung bzw. bei einem bestimmten ausgelösten Befehl korrekt ausgeführt werden können.

HINWEIS: Die Regeln der MAC-Schicht werden separat verwaltet und haben höhere Priorität als die übrigen Paketfilterregeln.

Syntax einer Skriptdatei

Die Syntax von Skriptdateien wird unter Erstellen eines Skripts beschrieben.

Allgemeine Firewallbefehle

Für die Verwaltung der Ethernet-Firewall des M262 Logic/Motion Controller sind folgende Befehle verfügbar:

Befehl

Beschreibung

Firewall Enable

Blockiert die Frames von den Ethernet-Schnittstellen. Wenn keiner bestimmten IP-Adresse oder keinem Port entsprechende Berechtigungen zugewiesen werden, ist eine Kommunikation über die Ethernet-Schnittstellen nicht möglich.

HINWEIS: Standardmäßig werden die Frames bei aktivierter Firewall abgewiesen.

Firewall Disable

Firewall-Regeln werden nicht angewendet. Frames werden nicht blockiert.

Firewall Ethx Default Allow(1)

Frames werden von der Steuerung an der Schnittstelle Ethx angenommen.

Firewall Ethx Default Reject(1)

Frames werden von der Steuerung an der Schnittstelle Ethx abgewiesen.

HINWEIS: Wenn diese Zeile nicht vorhanden ist, wird standardmäßig der Befehl Firewall Eth1 Default Reject verwendet.

(1) Hierbei gilt: Ethx =

  • Eth0: USB-Port

  • Eth1: Ethernet_1

  • Eth2: Ethernet_2

  • Eth3: TMSES4

  • Eth4: TMSES4_1

  • Eth5: TMSES4_2

Spezifische Firewallbefehle

Für die Konfiguration der Firewallregeln für bestimmte Ports und Adressen sind folgende Befehle verfügbar:

Befehl

Bereich

Beschreibung

Firewall Ethx Allow IP •.•.•.•(1)

= 0 bis 255

Die Frames von den genannten IP-Adressen sind für alle Portnummern und Porttypen zugelassen.

Firewall Ethx Reject IP •.•.•.•(1)

= 0 bis 255

Die Frames von den genannten IP-Adressen werden für alle Portnummern und Porttypen abgewiesen.

Firewall Ethx Allow IPs •.•.•.• to •.•.•.•(1)

= 0 bis 255

Die Frames von den IP-Adressen im genannten Bereich sind für alle Portnummern und Porttypen zugelassen.

HINWEIS: Regeln mit bestimmtem IP-Adressbereich werden in der Steuerung in das CIDR-Format konvertiert, während sie eingerichtet werden.

Beispiel: "Firewall Eth2 gestattet, dass die IPs 192.168.100.66 bis 192.168.100.99 auf TCP-Port 44818" in 7 unterteilt werden:

  • 192.168.100.66/31

  • 192.168.100.68/30

  • 192.168.100.72/29

  • 192.168.100.80/28

  • 192.168.100.96/27

  • 192.168.100.128/26

  • 192.168.100.192/29

Durch die Verwendung vollständiger Subnetz-IP-Bereiche wird die Sättigung von Firewallregeln verhindert.

Firewall Eth1 Reject IPs •.•.•.• to •.•.•.•(1)

= 0 bis 255

Die Frames von den IP-Adressen im genannten Bereich werden für alle Portnummern und Porttypen abgewiesen.

Firewall Eth1 Allow port_type port Y(1)

Y = (Zielportnummern)

Die Frames mit der genannten Zielportnummer sind zugelassen.

Firewall Eth1 Reject port_type port Y(1)

Y = (Zielportnummern)

Die Frames mit der genannten Zielportnummer werden zurückgewiesen.

HINWEIS: Wenn die IP-Weiterleitung aktiviert ist, filtern Regeln mit Reject-Port (Zurückweisungsport) nur Frames mit aktueller Steuerung als Ziel. Sie werden nicht auf die von der aktuellen Steuerung weitergeleiteten Frames angewendet.

Firewall Eth1 Allow port_type ports Y1 to Y2 (1)

Y = (Zielportnummern)

Die Frames mit einer Zielportnummer im genannten Bereich sind zugelassen.

Firewall Eth1 Reject port_type ports Y1 to Y2 (1)

Y = (Zielportnummern)

Die Frames mit einer Zielportnummer im genannten Bereich werden abgewiesen.

Firewall Eth1 Allow IP •.•.•.• on port_type port Y(1)

= 0 bis 255

Y = (Zielportnummern)

Die Frames von der genannten IP-Adresse und mit der genannten Zielportnummer sind zugelassen.

Firewall Ethx Reject IP •.•.•.• on port_type port Y

= 0 bis 255

Y = (Zielportnummern)

Die Frames von der genannten IP-Adresse und mit der genannten Zielportnummer werden abgewiesen.

Firewall Ethx Allow IP •.•.•.• on port_type ports Y1 to Y2

= 0 bis 255

Y = (Zielportnummern)

Die Frames von der genannten IP-Adresse und mit einer Zielportnummer im genannten Bereich sind zugelassen.

Firewall Ethx Reject IP •.•.•.• on port_type ports Y1 to Y2

= 0 bis 255

Y = (Zielportnummern)

Die Frames von der genannten IP-Adresse und mit einer Zielportnummer im genannten Bereich werden abgewiesen.

Firewall Ethx Allow IPs •1.•1.•1.•1 to •2.•2.•2.•2 on port_type port Y

= 0 bis 255

Y = (Zielportnummern)

Die Frames von einer IP-Adresse im genannten Bereich und mit der genannten Zielportnummer werden zugelassen.

Firewall Ethx Reject IPs •1.•1.•1.•1 to •2.•2.•2.•2 on port_type port Y(1)

= 0 bis 255

Y = (Zielportnummern)

Die Frames von einer IP-Adresse im genannten Bereich und mit der genannten Zielportnummer werden abgewiesen.

Firewall Ethx Allow IPs •1.•1.•1.•1 to •2.•2.•2.•2 on port_type ports Y1 to Y2(1)

= 0 bis 255

Y = (Zielportnummern)

Die Frames von einer IP-Adresse im genannten Bereich und mit einer Zielportnummer im genannten Bereich sind zugelassen.

Firewall Ethx Reject IPs •1.•1.•1.•1 to •2.•2.•2.•2 on port_type ports Y1 to Y2(1)

= 0 bis 255

Y = (Zielportnummern)

Die Frames von einer IP-Adresse im genannten Bereich und mit einer Zielportnummer im genannten Bereich werden abgewiesen.

Firewall Ethx Allow MAC ••:••:••:••:••:••(1)

• = 0...F

Die Frames von der genannten MAC-Adresse ••:••:••:••:•• sind zugelassen.

HINWEIS: Wenn Zulassungsregeln für MAC-Adressen angewendet werden, können nur die aufgelisteten MAC-Adressen mit der Steuerung kommunizieren, auch wenn andere Regeln zulässig sind.

Firewall Ethx Reject MAC ••:••:••:••:••:••(1)

• = 0...F

Die Frames mit der genannten MAC-Adresse ••:••:••:••:•• werden abgewiesen.

Firewall Ethx (1) Established to port_type port Y

Y = 0 bis 65535

Frames, die von der Steuerung mit den Protokollen TCP/UDP an die angegebene Ziel-Portnummer gesendet werden, sind zulässig.

(1) Hierbei gilt: Ethx =

  • Eth0: USB-Port

  • Eth1: Ethernet_1

  • Eth2: Ethernet_2

  • Eth3: TMSES4

  • Eth4: TMSES4_1

  • TMSES4_2

HINWEIS: Wenn die IP-Weiterleitung aktiviert ist, filtern Regeln mit Reject-Port nur Frames mit aktueller Steuerung als Ziel. Sie werden nicht auf die von der aktuellen Steuerung weitergeleiteten Frames angewendet.

Beispiel für ein Skript

; Enable FireWall. All frames are rejected;

FireWall Enable;

; Allow frames on Eth1

FireWall Eth1 Default Allow;

; Block all Modbus Requests on all IP address

Firewall Eth1 Reject tcp port 502;

; Reject frames on Eth2

FireWall Eth2 Default Reject;

; Allow FTP active connection for IP address 85.16.0.17

FireWall Eth2 Allow IP 85.16.0.17 on tcp ports 20 to 21;

HINWEIS: IP-Adressen werden in das CIDR-Format konvertiert.

Beispiel:

"FireWall Eth2 Allow IPs 192.168.100.66 to 192.168.100.99 on tcp port 44818;", wird in 7 Teile untergliedert:

  • 192.168.100.66/31

  • 192.168.100.68/30

  • 192.168.100.72/29

  • 192.168.100.80/28

  • 192.168.100.96/27

  • 192.168.100.128/26

  • 192.168.100.192/29

Um einen Firewall-Fehler zu vermeiden, verwenden Sie die gesamte Subnetzkonfiguration.

Nachfolgend ist ein Beispiel für eine Firewall im Whitelist-Modus aufgeführt. In dem Beispiel ist standardmäßig die gesamte Kommunikation gesperrt, und nur die notwendigen Dienste sind zugelassen.

HINWEIS: In dem Beispiel werden die meisten mit der Firewall verfügbaren Befehle gezeigt. Es sollte an Ihre Konfiguration angepasst und vor der Implementierung getestet werden.

Befehle

Kommentare

Firewall Enable

; Aktiviert die Firewall.

Eth1-Konfiguration

Firewall Eth1 Default Reject

; Weist alle Frames an der Schnittstelle ETH1 zurück.

; In diesem Beispiel ist ETH1 mit dem Industrial Ethernet-Gerätenetzwerk verbunden und kann daher als relativ vertrauenswürdig betrachtet werden.

Firewall Eth1 Allow TCP port 502

; Lässt Modbus TCP-Server an der Schnittstelle ETH1 zu.

; Es erfolgt keine Modbus-Authentifizierung, daher sollte dies nur in vertrauenswürdigen Netzwerken gestattet werden.

Firewall Eth1 Established to TCP port 502

; Gestattet Antworten auf die von der Steuerung hergestellte Kommunikation an den TCP-Port 502.

; Dies ist erforderlich, wenn die PlcCommunication-Bibliothek für die Kommunikation mit dem Modbus TCP-Protokoll verwendet wird.

Firewall Eth1 Allow UDP port 2222

; Der ETHIP-Scanner kann implizit Antworten auf den UDP-Port 2222 (ETHIP) an der Schnittstelle ETH1 austauschen.

Firewall Eth1 Established to TCP port 44818

; Gestattet Antworten auf die von der Steuerung hergestellte Kommunikation an den TCP-Port 44818 (ETHIP) an der Schnittstelle ETH1.

; Die letzten 2 Befehle gestatten dem EtheNetIP-Scanner die Kommunikation mit den Industrial Ethernet-Geräten.

Eth2-Konfiguration

Firewall Eth2 Default Reject

; Weist alle Frames an der Schnittstelle ETH2 zurück. Diese Schnittstelle ist mit einem Netzwerk verbunden, das in erster Linie für die Inbetriebnahme genutzt wird.

Firewall Eth2 Allow TCP port 4840

; Lässt den OPC UA-Server an der Schnittstelle ETH2 zu.

Firewall Eth2 Allow TCP port 443

; Lässt den Webserver (HTTPS) an der Schnittstelle ETH2 zu.

Firewall Eth2 Allow TCP port 8089

; Lässt den WebVisualisation (HTTPS) an der Schnittstelle ETH2 zu.

Firewall Eth2 Allow TCP ports 20 to 21

; Lässt FTP im aktiven Modus an der Schnittstelle ETH2 zu.

Firewall Eth2 Allow IP 192.168.1.1 on UDP ports 27126 to 27127

; Ermöglicht es der IP des Inbetriebnahme-PCs, die IP-Adresse der Steuerung zu ermitteln und zu konfigurieren.

; Dies sollte nur in einem vertrauenswürdigen Netzwerk gestattet sein, da die IP geändert werden kann, auch wenn die Benutzerrechte konfiguriert sind.

Firewall Eth2 Allow IPs 192.168.1.1 to 192.168.1.2 on UDP port 1740

; Ermöglicht es der IP des Inbetriebnahme-PC und eines HMI, mit der Steuerung über das Machine Expert-Protokoll zu kommunizieren.

Firewall Eth2 Allow TCP port 11740

; Lässt Fast TCP an der Schnittstelle ETH2 zu. Dies ermöglicht es, eine Verbindung mit der Steuerung über TCP herzustellen.

Firewall Eth2 Allow TCP port 2222

; Gestattet die implizite Kommunikation mit dem UDP-Port 2222 (ETHIP) an der Schnittstelle ETH2.

Firewall Eth2 Allow TCP port 44818

; Gestattet die explizite Kommunikation zum TCP-Port 44818 (ETHIP) an der Schnittstelle ETH2. Die letzten beiden Befehle ermöglichen es, die Steuerung als EtherNetIP-Adapter zu verwenden.

Firewall Eth2 Allow MAC 4C:CC:6A:A1:09:C8

; Lässt die MAC-Adresse des HMI zu.

Firewall Eth2 Allow MAC 00:0C:29:92:43:A8

; Lässt die MAC-Adresse des Inbetriebnahme-PC zu. Nur zulässige MAC-Adressen können mit der Steuerung kommunizieren.

Eth3-Konfiguration TMSES4

Firewall Eth3 Default Reject

; Weist Frames an TMSES4 zurück. Diese Schnittstelle ist mit dem Werksnetzwerk verbunden und kann auf das Internet zugreifen. Sie sollte als nicht vertrauenswürdig betrachtet werden.

Firewall Eth3 Established to TCP port 443

; Lässt den HTTP-Client (zum Beispiel zum Einrichten einer Verbindung zu Machine Advisor) an der TMSES4-Schnittstelle zu.

Firewall Eth3 Allow TCP port 11740

; Lässt Fast TCP an der Schnittstelle TMSES4 zu. Dies ermöglicht es, eine dezentrale Verbindung zur Steuerung herzustellen. Dies darf nicht zulässig sein, es sei denn, die Benutzerrechte sind auf der Steuerung aktiviert.

HINWEIS: Es sind maximal 200 Zeichen pro Zeile gestattet, einschließlich Kommentare.

Verwendete Ports

Protokoll

Zielportnummern

Machine Expert

UDP 1740, 1741, 1742, 1743

TCP 11740

FTP

TCP 21, 20

HTTP

TCP 80

HTTPS

TCP 443

Modbus

TCP 502

OPC UA

TCP 4840

Machine Expert Discovery

UDP 27126, 27127

Bonjour Discovery Protocol

UDP 5353

Web Services Dynamic Discovery

UDP 3702

TCP 5357

SNMP

UDP 161, 162

NVL

UDP-Standardwert: 1202

EtherNet/IP

UDP 2222

TCP 44818

WebVisualisation

HTTP 8080

HTTPS 8089

TFTP

UDP 69 (nur für FDR-Server verwendet)

SafeLogger

UDP 35021, 45000

Machine Assistant

UDP 45001 bis 45004