Commandes de script de pare-feu

Présentation

Cette section décrit la syntaxe des fichiers de script (par défaut ou dynamiques) à respecter pour qu'ils s'exécutent correctement au démarrage du contrôleur ou lors du déclenchement d'une commande particulière.

NOTE : Les règles de la couche MAC sont gérées séparément et sont prioritaires par rapport aux autres règles de filtrage de paquets.

Syntaxe des fichiers de script

La syntaxe des fichiers de script est décrite dans la section Création d'un script.

Commandes de pare-feu générales

Les commandes suivantes permettent de gérer le pare-feu Ethernet du M262 Logic/Motion Controller :

Commande

Description

Firewall Enable

Bloque les trames provenant des interfaces Ethernet. Si aucune adresse IP ou port spécifique n'est autorisé(e), il n'est pas possible de communiquer sur les interfaces Ethernet.

NOTE : Par défaut, lorsque le pare-feu est activé, les trames sont rejetées.

Firewall Disable

Les règles de pare-feu ne s'appliquent pas. Les trames ne sont pas bloquées.

Firewall Ethx Default Allow (1)

Le contrôleur accepte les trames sur l'interface Ethx.

Firewall Ethx Default Reject (1)

Le contrôleur rejette les trames sur l'interface Ethx.

NOTE : Si cette ligne est absente, l'option par défaut est la commande Firewall Eth1 Default Reject.

(1) Où Ethx =

  • Eth0 : Port USB

  • Eth1 : Ethernet_1

  • Eth2 : Ethernet_2

  • Eth3 : TMSES4

  • Eth4 : TMSES4_1

  • Eth5 : TMSES4_2

Commandes de pare-feu spécifiques

Les commandes suivantes permettent de configurer les règles de pare-feu pour certains ports et certaines adresses :

Commande

Plage

Description

Firewall Ethx Allow IP •.•.•.•(1)

= 0 à 255

Les trames provenant de l'adresse IP indiquée sont autorisées sur l'ensemble des ports, quel que soit leur type.

Firewall Ethx Reject IP •.•.•.•(1)

= 0 à 255

Les trames provenant de l'adresse IP indiquée sont rejetées sur l'ensemble des ports, quel que soit leur type.

Firewall Ethx Allow IPs •.•.•.• to •.•.•.•(1)

= 0 à 255

Les trames provenant des adresses IP de la plage indiquée sont autorisées sur l'ensemble des ports, quel que soit leur type.

NOTE : Les règles assorties d'une plage d'adresses IP spécifique sont converties au format CIDR dans le contrôleur pendant leur établissement.

Exemple : "Le pare-feu Eth2 autorise les adresses IP 192.168.100.66 à 192.168.100.99 sur le port TCP 44818" est divisé en 7 parties :

  • 192.168.100.66/31

  • 192.168.100.68/30

  • 192.168.100.72/29

  • 192.168.100.80/28

  • 192.168.100.96/27

  • 192.168.100.128/26

  • 192.168.100.192/29

L'utilisation de plages d'adresses IP de sous-réseau entières évite la saturation des règles de pare-feu.

Firewall Eth1 Reject IPs •.•.•.• to •.•.•.•(1)

= 0 à 255

Les trames provenant des adresses IP de la plage indiquée sont rejetées sur l'ensemble des ports, quel que soit leur type.

Firewall Eth1 Allow port_type port Y(1)

Y = (numéro du port de destination)

Les trames avec le numéro de port de destination spécifié sont autorisées.

Firewall Eth1 Reject port_type port Y(1)

Y = (numéro du port de destination)

Les trames avec le numéro de port de destination spécifié sont rejetées.

NOTE : Lorsque le transfert IP est activé, les règles contenant Reject Port filtrent uniquement les trames ayant pour destination le contrôleur actif. Elles ne s'appliquent pas aux trames routées par le contrôleur actif.

Firewall Eth1 Allow port_type ports Y1 to Y2 (1)

Y = (numéro du port de destination)

Les trames avec un numéro de port de destination appartenant à la plage indiquée sont autorisées.

Firewall Eth1 Reject port_type ports Y1 to Y2 (1)

Y = (numéro du port de destination)

Les trames avec un numéro de port de destination appartenant à la plage indiquée sont rejetées.

Firewall Eth1 Allow IP •.•.•.• on port_type port Y(1)

= 0 à 255

Y = (numéro du port de destination)

Les trames provenant de l'adresse IP spécifiée et avec le numéro de port de destination indiqué sont autorisées.

Firewall Ethx Reject IP •.•.•.• on port_type port Y

= 0 à 255

Y = (numéro du port de destination)

Les trames provenant de l'adresse IP spécifiée et avec le numéro de port de destination indiqué sont rejetées.

Firewall Ethx Allow IP •.•.•.• on port_type ports Y1 to Y2

= 0 à 255

Y = (numéro du port de destination)

Les trames provenant de l'adresse IP spécifiée et avec un numéro de port de destination appartenant à la plage indiquée sont autorisées.

Firewall Ethx Reject IP •.•.•.• on port_type ports Y1 to Y2

= 0 à 255

Y = (numéro du port de destination)

Les trames provenant de l'adresse IP spécifiée et avec un numéro de port de destination appartenant à la plage indiquée sont rejetées.

Firewall Ethx Allow IPs •1.•1.•1.•1 to •2.•2.•2.•2 on port_type port Y

= 0 à 255

Y = (numéro du port de destination)

Les trames en provenance d'une adresse IP figurant dans la plage spécifiée et avec le numéro de port de destination indiqué sont autorisées.

Firewall Ethx Reject IPs •1.•1.•1.•1 to •2.•2.•2.•2 on port_type port Y(1)

= 0 à 255

Y = (numéro du port de destination)

Les trames provenant d'une adresse IP de la plage spécifiée et avec le numéro de port de destination indiqué sont rejetées.

Firewall Ethx Allow IPs •1.•1.•1.•1 to •2.•2.•2.•2 on port_type ports Y1 to Y2(1)

= 0 à 255

Y = (numéro du port de destination)

Les trames provenant d'une adresse IP de la plage spécifiée et avec un numéro de port de destination appartenant à la plage indiquée sont autorisées.

Firewall Ethx Reject IPs •1.•1.•1.•1 to •2.•2.•2.•2 on port_type ports Y1 to Y2(1)

= 0 à 255

Y = (numéro du port de destination)

Les trames provenant d'une adresse IP de la plage spécifiée et avec un numéro de port de destination appartenant à la plage indiquée sont rejetées.

Firewall Ethx Allow MAC ••:••:••:••:••:••(1)

• = 0 à F

Les trames provenant de l'adresse MAC spécifiée ••:••:••:••:•• sont autorisées.

NOTE : Lorsque les règles autorisant l'adresse MAC sont appliquées, seules les adresses MAC répertoriées peuvent communiquer avec le contrôleur, même si d'autres règles sont autorisées.

Firewall Ethx Reject MAC ••:••:••:••:••:••(1)

• = 0 à F

Les trames provenant de l'adresse MAC indiquée ••:••:••:••:•• sont rejetées.

Firewall Ethx (1) Established to port_type port Y

Y = 0 à 65535

Les trames établies du contrôleur avec les protocoles TCP/UDP vers le numéro de port de destination spécifié sont autorisées.

(1) Où Ethx =

  • Eth0 : Port USB

  • Eth1 : Ethernet_1

  • Eth2 : Ethernet_2

  • Eth3 : TMSES4

  • Eth4 : TMSES4_1

  • Eth5 : TMSES4_2

NOTE : Lorsque le transfert IP est activé, les règles contenant Reject port filtrent uniquement les trames ayant pour destination le contrôleur actif. Elles ne s'appliquent pas aux trames routées par le contrôleur actif.

Exemple de script

; Enable FireWall. All frames are rejected;

FireWall Enable;

; Allow frames on Eth1

FireWall Eth1 Default Allow;

; Block all Modbus Requests on all IP address

Firewall Eth1 Reject tcp port 502;

; Reject frames on Eth2

FireWall Eth2 Default Reject;

; Allow FTP active connection for IP address 85.16.0.17

FireWall Eth2 Allow IP 85.16.0.17 on tcp ports 20 to 21;

NOTE : Les adresses IP sont converties en format CIDR.

Exemple :

"FireWall Eth2 Allow IPs 192.168.100.66 to 192.168.100.99 on tcp port 44818;" est divisé en 7 membres :

  • 192.168.100.66/31

  • 192.168.100.68/30

  • 192.168.100.72/29

  • 192.168.100.80/28

  • 192.168.100.96/27

  • 192.168.100.128/26

  • 192.168.100.192/29

Pour éviter une erreur de pare-feu, utilisez la configuration de sous-réseau intégrale.

L'exemple suivant porte sur un pare-feu en mode liste blanche. Toutes les communications sont bloquées par défaut et seuls les services nécessaires sont autorisés.

NOTE : Cet exemple vise à vous présenter la plupart des commandes disponibles avec le pare-feu. Vous avez tout intérêt à l'adapter à votre configuration et à le tester avant sa mise en œuvre.

Commandes

Commentaires

Firewall Enable

; Active le pare-feu.

Configuration Eth1

Firewall Eth1 Default Reject

; Rejette toutes les trames sur l'interface ETH1.

; Dans cet exemple, l'interface ETH1 est connectée au réseau d'équipements Ethernet industriel et peut donc être considérée comme relativement fiable.

Firewall Eth1 Allow TCP port 502

; Autorise le serveur Modbus TCP sur l'interface ETH1.

; Compte tenu de l'absence d'authentification sur Modbus, cela doit être autorisé uniquement sur les réseaux fiables.

Firewall Eth1 Established to TCP port 502

; Autorise les réponses aux communications établies par le contrôleur sur le port TCP 502.

; Cela est nécessaire lorsque la bibliothèque PlcCommunication est utilisée pour communiquer à l'aide du protocole Modbus TCP.

Firewall Eth1 Allow UDP port 2222

; Autorise les réponses d'échanges implicites du scrutateur ETHIP sur le port UDP 2222 (ETHIP) de l'interface ETH1.

Firewall Eth1 Established to TCP port 44818

; Autorise les réponses aux communications établies par le contrôleur sur le port TCP 44818 (ETHIP) de l'interface ETH1.

; Les 2 dernières commandes autorisent le scrutateur EtherNetIP à communiquer avec les équipements de type Ethernet industriel.

Configuration Eth2

Firewall Eth2 Default Reject

; Rejette toutes les trames sur l'interface ETH2. Cette interface est connectée à un réseau utilisé principalement pour la mise en service.

Firewall Eth2 Allow TCP port 4840

; Autorise le serveur OPC UA sur l'interface ETH2.

Firewall Eth2 Allow TCP port 443

; Autorise le Serveur Web (https) sur l'interface ETH2.

Firewall Eth2 Allow TCP port 8089

; Autorise le WebVisualisation (https) sur l'interface ETH2.

Firewall Eth2 Allow TCP ports 20 to 21

; Autorise le protocole FTP en mode actif sur l'interface ETH2.

Firewall Eth2 Allow IP 192.168.1.1 on UDP ports 27126 to 27127

; Autorise l'adresse IP du PC de mise en service à découvrir et à configurer l'adresse IP du contrôleur.

; Cela doit être autorisé uniquement sur un réseau fiable, car l'adresse IP peut être changée même si les droits utilisateur sont configurés.

Firewall Eth2 Allow IPs 192.168.1.1 to 192.168.1.2 on UDP port 1740

; Autorise l'adresse IP du PC de mise en service et un HMI à communiquer avec le contrôleur à l'aide du protocole Machine Expert.

Firewall Eth2 Allow TCP port 11740

; Autorise le protocole Fast TCP sur l'interface ETH2. Cela permet de se connecter au contrôleur à l'aide de TCP.

Firewall Eth2 Allow TCP port 2222

; Autorise la communication implicite avec le port UDP 2222 (ETHIP) de l'interface ETH2.

Firewall Eth2 Allow TCP port 44818

; Autorise la communication explicite sur le port TCP 44818 (ETHIP) de l'interface ETH2. Les 2 dernières commandes permettent d'utiliser le contrôleur comme adaptateur EtherNetIP.

Firewall Eth2 Allow MAC 4C:CC:6A:A1:09:C8

; Autorise l'adresse MAC de l'IHM.

Firewall Eth2 Allow MAC 00:0C:29:92:43:A8

; Autorise l'adresse MAC du PC de mise en service. Seule l'adresse MAC autorisée peut communiquer avec le contrôleur.

Configuration Eth3TMSES4

Firewall Eth3 Default Reject

; Rejette les trames sur TMSES4. Cette interface est connectée au réseau de l'usine et peut accéder au Web. Elle doit être considérée comme non fiable.

Firewall Eth3 Established to TCP port 443

; Autorise le client http (par exemple pour se connecter à Machine Advisor) sur l'interface TMSES4.

Firewall Eth3 Allow TCP port 11740

; Autorise le protocole Fast TCP sur l'interface TMSES4. Cela permet de se connecter au contrôleur à distance. ll ne doit être autorisé que si les droits utilisateurs sont activés sur le contrôleur.

NOTE : Les caractères sont limités à 200 par ligne, commentaires inclus.

Ports utilisés

Protocole

Numéros de ports de destination

Machine Expert

UDP 1740, 1741, 1742, 1743

TCP 11740

FTP

TCP 21, 20

HTTP

TCP 80

HTTPS

TCP 443

Modbus

TCP 502

OPC UA

TCP 4840

Découverte Machine Expert

UDP 27126, 27127

Bonjour Protocole de détection

UDP 5353

Découverte dynamique des services Web

UDP 3702

TCP 5357

SNMP

UDP 161, 162

NVL

Valeur par défaut UDP : 1202

EtherNet/IP

UDP 2222

TCP 44818

WebVisualisation

HTTP 8080

HTTPS 8089

TFTP

UDP 69 (utilisé pour le serveur FDR uniquement)

SafeLogger

UDP 35021, 45000

Machine Assistant

UDP 45001 à 45004