In questa sezione viene descritto come vengono scritti i file di script (file di script predefiniti o file di script dinamici) in modo che possano essere eseguiti durante l'avvio del controller o durante l'attivazione di un comando specifico.
La sintassi dei file di script è descritta in Linee guida di sintassi script.
I comandi seguenti sono disponibili per la gestione del firewall Ethernet del M241 Logic Controller:
|
Comando |
Descrizione |
|---|---|
|
|
Blocca i frame dalle interfacce Ethernet. Se non è autorizzato alcun indirizzo IP specifico, non è possibile comunicare sulle interfacce Ethernet.
NOTA: Per impostazione predefinita, quando il firewall è attivato, vengono rifiutati i frame.
|
|
|
Le regole del firewall non sono applicate. I frame non sono bloccati. |
|
|
I frame vengono accettati dal controller. |
|
|
I frame vengono rifiutati dal controller.
NOTA: Per impostazione predefinita, se questa riga non è presente, corrisponde al comando
Firewall Eth1 Default Reject.
|
|
(1)Dove Ethx =
|
|
I comandi seguenti sono disponibili per configurare le regole del firewall per indirizzi e porte specifiche:
|
Comando |
Intervallo |
Descrizione |
|---|---|---|
|
|
• = 0 - 255 |
I frame provenienti dall'indirizzo IP specificato sono consentiti su tutti i numeri di porte e i tipi di porte. |
|
|
• = 0 - 255 |
I frame provenienti dall'indirizzo IP specificato sono rifiutati su tutti i numeri di porte e i tipi di porte. |
|
|
• = 0 - 255 |
I frame provenienti dagli indirizzi IP nell'intervallo specificato sono consentiti per tutti i numeri di porte e i tipi di porte. |
|
|
• = 0 - 255 |
I frame provenienti dagli indirizzi IP nell'intervallo specificato sono rifiutati per tutti i numeri di porte e i tipi di porte. |
|
|
I frame con il numero della porta di destinazione specificato sono consentiti. |
|
|
|
I frame con il numero della porta di destinazione specificato sono rifiutati.
NOTA: Quando l'inoltro IP è attivato, le regole con rifiuto di porte filtrano solo frame con il controller corrente come destinazione. Non sono applicate per i frame instradati dal controller corrente.
|
|
|
|
I frame con un numero della porta di destinazione nell'intervallo specificato sono consentiti. |
|
|
|
I frame con un numero della porta di destinazione nell'intervallo specificato sono rifiutati. |
|
|
|
• = 0 - 255 |
I frame provenienti dall'indirizzo IP specificato e con il numero della porta di destinazione specificato sono consentiti. |
|
|
• = 0 - 255 |
I frame provenienti dall'indirizzo IP specificato e con il numero della porta di destinazione specificato sono rifiutati. |
|
|
• = 0 - 255 |
I frame provenienti dall'indirizzo IP specificato e con un numero della porta di destinazione nell'intervallo specificato sono consentiti. |
|
|
• = 0 - 255 |
I frame provenienti dall'indirizzo IP specificato e con un numero della porta di destinazione nell'intervallo specificato sono rifiutati. |
|
|
• = 0 - 255 |
I frame provenienti da un indirizzo IP nell'intervallo specificato e con il numero di porta di destinazione specificato sono consentiti. |
|
|
• = 0 - 255 |
I frame provenienti da un indirizzo IP nell'intervallo specificato e con il numero di porta di destinazione specificato sono rifiutati. |
|
|
• = 0 - 255 |
I frame provenienti da un indirizzo IP nell'intervallo specificato e con il numero di porta di destinazione nell'intervallo specificato sono consentiti. |
|
|
• = 0 - 255 |
I frame provenienti da un indirizzo IP nell'intervallo specificato e con il numero di porta di destinazione nell'intervallo specificato sono rifiutati. |
|
|
• = 0 - F |
I frame provenienti dall'indirizzo MAC ••:••:••:••:•• specificato sono consentiti.
NOTA: Quando vengono applicate le regole che consentono l’indirizzo MAC, solo gli indirizzi MAC elencati possono comunicare con il controller, anche se altre regole lo consentono.
|
|
|
• = 0 - F |
I frame provenienti dall'indirizzo MAC ••:••:••:••:•• specificato sono rifiutati. |
; Enable FireWall. All frames are rejected;
FireWall Enable;
; Allow frames on Eth1
FireWall Eth1 Default Allow;
; Block all Modbus Requests on all IP address
Firewall Eth1 Reject tcp port 502;
; Reject frames on Eth2
FireWall Eth2 Default Reject;
; Allow Fast TCP on interface ETH1. This allow to connect to the controller using TCP
Firewall Eth1 Allow TCP port 1105;
; Allow FTP active connection for IP address 85.16.0.17
FireWall Eth2 Allow IP 85.16.0.17 on tcp ports 20 to 21;
Ad esempio:
"FireWall Eth2 Allow IPs 192.168.100.66 to 192.168.100.99 on tcp port 44818;", è separato in 7:
192.168.100.66/31
192.168.100.68/30
192.168.100.72/29
192.168.100.80/28
192.168.100.96/27
192.168.100.128/26
192.168.100.192/29
Per impedire un errore del firewall, utilizzare l'intera configurazione della sotto rete.
|
Protocollo |
Numeri porta di destinazione |
|---|---|
|
Machine Expert |
UDP 1740, 1741, 1742, 1743 TCP 1105 |
|
FTP |
TCP 21 |
|
HTTP / HTTPS |
TCP 80, 443 (server Web) TCP 8080 (visualizzazione Web) |
|
Modbus |
TCP 502 (1) |
|
OPC UA |
TCP 4840 |
|
Machine Expert Discovery |
UDP 27126, 27127 |
|
SNMP |
UDP 161, 162 |
|
NVL |
Valore predefinito UDP: 1202 |
|
EtherNet/IP |
UDP 2222 TCP 44818 |
|
TFTP |
UDP 69 (utilizzato solo per server FDR) |
|
(1) È possibile cambiare il valore predefinito con il comando ModbusPort. |
|