Comandos de script del cortafuegos

Descripción general

En esta sección se describe cómo se escriben los archivos de script (archivos de script predeterminados o archivos de script dinámico) para que se puedan ejecutar durante el inicio del controlador o durante la activación de un comando específico.

NOTA: Las reglas de capa MAC se gestionan por separado y tienen más prioridad que otras reglas de filtrado de paquetes.

Sintaxis de los archivos de script

La sintaxis de los archivos de script se describe en Creación de un script.

Comandos generales del cortafuegos

Los siguientes comandos están disponibles para gestionar el cortafuegos de Ethernet de M262 Logic/Motion Controller:

Comando

Descripción

Firewall Enable

Bloquea las tramas desde las interfaces Ethernet. Si no se autoriza ninguna dirección IP específica, no es posible comunicarse en las interfaces Ethernet.

NOTA: De manera predeterminada, cuando se habilite el cortafuegos, se rechazarán las tramas.

Firewall Disable

Las reglas del cortafuegos no se aplican. Las tramas no se bloquean

Firewall Ethx Default Allow (1)

El controlador acepta las tramas.

Firewall Ethx Default Reject(1)

El controlador rechaza las tramas.

NOTA: De manera predeterminada, si esta línea no está presente, corresponde al comando Firewall Eth1 Default Reject.

(1)Donde Ethx =

  • Eth1: Ethernet_1

  • Eth2: Ethernet_2

  • Eth3: TMSES4 (primer módulo Ethernet desde la izquierda)

  • Eth4: TMSES4 (segundo módulo Ethernet desde la izquierda)

  • Eth5: TMSES4 (tercer módulo Ethernet desde la izquierda)

Comandos específicos del cortafuegos

Los siguientes comandos están disponibles para configurar normas del cortafuegos para puertos y direcciones específicos:

Comando

Rango

Descripción

Firewall Eth1 Allow IP •.•.•.•

= de 0 a 255

Se aceptan las tramas de la dirección IP especificada en todos los números y tipos de puerto.

Firewall Eth1 Reject IP •.•.•.•

= de 0 a 255

Se rechazan las tramas de la dirección IP especificada en todos los números y tipos de puerto.

Firewall Eth1 Allow IPs •.•.•.• to •.•.•.•

= de 0 a 255

Se aceptan las tramas de las direcciones IP dentro del intervalo especificado para todos los números y tipos de puerto.

Firewall Eth1 Reject IPs •.•.•.• to •.•.•.•

= de 0 a 255

Se rechazan las tramas de las direcciones IP dentro del intervalo especificado para todos los números y tipos de puerto.

Firewall Eth1 Allow port_type port Y

Y = (números de puerto de destino)

Se aceptan las tramas con el número de puerto de destino especificado.

Firewall Eth1 Reject port_type port Y

Y = (números de puerto de destino)

Se rechazan las tramas con el número de puerto de destino especificado.

Firewall Eth1 Allow port_type ports Y1 to Y2

Y = (números de puerto de destino)

Se aceptan las tramas con un número de puerto de destino dentro del intervalo especificado.

Firewall Eth1 Reject port_type ports Y1 to Y2

Y = (números de puerto de destino)

Se rechazan las tramas con un número de puerto de destino dentro del intervalo especificado.

Firewall Eth1 Allow IP •.•.•.• on port_type port Y

= de 0 a 255

Y = (números de puerto de destino)

Se aceptan las tramas de la dirección IP especificada y con el número de puerto de destino especificado.

Firewall Eth1 Reject IP •.•.•.• on port_type port Y

= de 0 a 255

Y = (números de puerto de destino)

Se rechazan las tramas de la dirección IP especificada y con el número de puerto de destino especificado.

Firewall Eth1 Allow IP •.•.•.• on port_type ports Y1 to Y2

= de 0 a 255

Y = (números de puerto de destino)

Se aceptan las tramas de la dirección IP especificada y con un número de puerto de destino dentro del intervalo especificado.

Firewall Eth1 Reject IP •.•.•.• on port_type ports Y1 to Y2

= de 0 a 255

Y = (números de puerto de destino)

Se rechazan las tramas de la dirección IP especificada y con un número de puerto de destino dentro del intervalo especificado.

Firewall Eth1 Allow IPs •1.•1.•1.•1 to •2.•2.•2.•2 on port_type port Y

= de 0 a 255

Y = (números de puerto de destino)

Se aceptan las tramas de una dirección IP dentro del intervalo especificado y con el número de puerto de destino especificado.

Firewall Eth1 Reject IPs •1.•1.•1.•1 to •2.•2.•2.•2 on port_type port Y

= de 0 a 255

Y = (números de puerto de destino)

Se rechazan las tramas de una dirección IP dentro del intervalo especificado y con el número de puerto de destino especificado.

Firewall Eth1 Allow IPs •1.•1.•1.•1 to •2.•2.•2.•2 on port_type ports Y1 to Y2

= de 0 a 255

Y = (números de puerto de destino)

Se aceptan las tramas de una dirección IP dentro del intervalo especificado y con un número de puerto de destino dentro del intervalo especificado.

Firewall Eth1 Reject IPs •1.•1.•1.•1 to •2.•2.•2.•2 on port_type ports Y1 to Y2

= de 0 a 255

Y = (números de puerto de destino)

Se rechazan las tramas de una dirección IP dentro del intervalo especificado y con un número de puerto de destino dentro del intervalo especificado.

Firewall Eth1 Allow MAC ••:••:••:••:••:••

• = 0-F

Se aceptan las tramas de la dirección MAC especificada ••:••:••:••:••.

NOTA: Cuando se aplican las reglas para permitir la dirección MAC, solo las direcciones MAC de la lista pueden comunicarse con el controlador, aunque se permitan otras reglas.

Firewall Eth1 Reject MAC ••:••:••:••:••:••

• = 0-F

Se rechazan las tramas de la dirección MAC especificada ••:••:••:••:••.

Firewall Ethx (1) Established to port_type port Y

Y = de 0 a 65535

Se permiten las tramas establecidas desde el controlador con los protocolos TCP/UDP al número de puerto del destino especificado.

(1) Si:

  • x=0, puerto USB.

  • x=1, puerto Ethernet 1.

  • x=2, puerto Ethernet 2.

  • x=3, puerto Ethernet del TMSES4(primer módulo Ethernet desde la izquierda).

  • x=4: Puerto Ethernet del TMSES4 (segundo módulo Ethernet desde la izquierda).

  • x=5: Puerto Ethernet del TMSES4 (tercer módulo Ethernet desde la izquierda).

Ejemplo de script

A continuación se ofrece un ejemplo de un cortafuegos en modalidad de lista blanca. En el ejemplo, todas las comunicaciones están bloqueadas de manera predeterminada y solo se permiten los servicios necesarios.

NOTA: Este ejemplo se ha diseñado para mostrar la mayoría de los comandos disponibles con el cortafuegos. Se debe adaptar a la configuración y probar antes de la implementación.

Comandos

Comentarios

Firewall Enable

Habilitar el cortafuegos.

Configuración de Eth1

Firewall Eth1 Default Reject

Rechazar todas las tramas en la interfaz ETH1.

En este ejemplo, ETH1 está conectado a la red de dispositivos Ethernet industrial y, por lo tanto, es relativamente de confianza.

Firewall Eth1 Allow TCP port 502

Permitir el servidor Modbus TCP en la interfaz ETH1.

No hay autenticación en Modbus, de manera que esto solo se debe permitir en redes de confianza.

Firewall Eth1 Established to TCP port 502

Permitir respuestas a comunicación establecida por el controlador al puerto TCP 502.

Esto es necesario cuando se utiliza la biblioteca PlcCommunication para comunicarse mediante el protocolo Modbus TCP.

Firewall Eth1 Allow UDP port 2222

Permitir al escáner ETHIP respuestas a intercambios implícitos al puerto UDP 2222 (ETHIP) en la interfaz ETH1.

Firewall Eth1 Established to TCP port 44818

Permitir respuestas a la comunicación establecida por el controlador al puerto TCP 44818 (ETHIP) en la interfaz ETH1.

Los dos últimos comandos permiten que el explorador EtherNetIP se comunique con los dispositivos Ethernet industrial.

Configuración de Eth2

Firewall Eth2 Default Reject

Rechazar todas las tramas en la interfaz ETH2. Esta interfaz se conecta a una red utilizada principalmente para la puesta en marcha.

Firewall Eth2 Allow TCP port 4840

Permitir el servidor OPC-UA en la interfaz ETH2.

Firewall Eth2 Allow TCP port 443

Permitir el servidor web (https) en la interfaz ETH2.

Firewall Eth2 Allow TCP port 8089

Permitir web visu (https) en la interfaz ETH2.

Firewall Eth2 Allow TCP ports 20 to 21

Permitir ftp en modalidad activa en la interfaz ETH2.

Firewall Eth2 Allow IP 192.168.1.1 on UDP ports 27126 to 27127

Permitir que la IP del PC de puesta en marcha detecte y configure la dirección IP del controlador.

Solo se debería permitir en una red de confianza porque la IP se puede cambiar aunque los derechos del usuario estén configurados.

Firewall Eth2 Allow IPs 192.168.1.1 to 192.168.1.2 on UDP port 1740

Permitir que la IP del PC de puesta en marcha y una HMI se comuniquen con el controlador mediante el protocolo de Machine Expert.

Firewall Eth2 Allow TCP port 11740

Permitir Fast TCP en la interfaz ETH2. Esto permite conectarse al controlador por medio de TCP.

Firewall Eth2 Allow TCP port 2222

Permitir la comunicación implícita con el puerto UDP 2222 (ETHIP) en la interfaz ETH2.

Firewall Eth2 Allow TCP port 44818

Permitir la comunicación explícita con el puerto TCP 44818 (ETHIP) en la interfaz ETH2. Los dos últimos comandos permiten utilizar el controlador como un adaptador EtherNetIP.

Firewall Eth2 Allow MAC 4C:CC:6A:A1:09:C8

Permitir la dirección MAC de la HMI.

Firewall Eth2 Allow MAC 00:0C:29:92:43:A8

Permitir la dirección MAC del PC de puesta en marcha. Solo las direcciones MAC permitidas pueden comunicarse con el controlador.

Configuración Eth3 TMSES4

Firewall Eth3 Default Reject

Rechazar tramas en TMSES4. Esta interfaz está conectada a la red de la planta y puede acceder a la web. Se debe considerar que no es de confianza.

Firewall Eth3 Established to TCP port 443

Permitir el cliente https (por ejemplo, conectarse a Machine Advisor) en la interfaz TMSES4.

Firewall Eth3 Allow TCP port 11740

Permitir Fast TCP en la interfaz TMSES4. Esto permite conectarse al controlador de manera remota. No se debe permitir a menos que los Derechos del usuario estén activados en el controlador.

NOTA: Máximo 200 caracteres por línea, incluidos comentarios.

Puertos utilizados

Protocolo

Números de puertos de destino

Machine Expert

UDP 1740, 1741, 1742, 1743

TCP 11740

FTP

TCP 21, 20

HTTP(1)

TCP 80(1)

HTTPS

TCP 443

Modbus

TCP 502

Detección de Machine Expert

UDP 27126, 27127

Detección dinámica de servicios web

UDP 3702

TCP 5357

SNMP

UDP 161, 162

NVL

Valor predeterminado UDP: 1202

EtherNet/IP

UDP 2222

TCP 44818

Visualización web

HTTP 8080

HTTPS 8089

TFTP

UDP 69 (utilizado solo para servidor FDR)

SafeLogger

UDP 35021, 45000

Machine Assistant

UDP 45001-45004

OPC UA

TCP 4840

DHCP

UDP 68

NTP

UDP 123

Servicio de detección

UDP 5353

(1) Las solicitudes HTTP dirigidas al puerto TCP 80 se redirigirán para utilizar HTTPS en el puerto 443.

EIO0000003694.03

© 2022

Schneider Electric.

Reservados todos los derechos.