In diesem Abschnitt wird beschrieben, wie Skriptdateien (Standardskriptdateien oder dynamische Skriptdateien) geschrieben werden müssen, damit sie beim Start der Steuerung bzw. bei einem bestimmten ausgelösten Befehl korrekt ausgeführt werden können.
Die Syntax von Skriptdateien wird in den Richtlinien für die Skriptsyntax beschrieben.
Für die Verwaltung der Ethernet-Firewall des M251 Logic Controller sind folgende Befehle verfügbar:
|
Befehl |
Beschreibung |
|---|---|
|
|
Blockiert die Frames von den Ethernet-Schnittstellen. Wenn keine spezifische IP-Adresse autorisiert ist, ist keine Kommunikation über die Ethernet-Schnittstellen möglich.
HINWEIS: Standardmäßig werden die Frames bei aktivierter Firewall abgewiesen.
|
|
|
Firewallregeln werden nicht angewendet. Frames werden nicht blockiert. |
|
|
Frames werden von der Steuerung angenommen. |
|
|
Frames werden von der Steuerung abgewiesen.
HINWEIS: Wenn diese Zeile nicht vorhanden ist, entspricht sie standardmäßig dem Befehl
Firewall Eth1 Default Reject.
|
|
(1) Hierbei gilt: Ethx = Für TM251MESC:
Für TM251MESE:
|
|
Für die Konfiguration der Firewallregeln für bestimmte Ports und Adressen sind folgende Befehle verfügbar:
|
Befehl |
Bereich |
Beschreibung |
|---|---|---|
|
|
• = 0 bis 255 |
Die Frames von den genannten IP-Adressen sind für alle Portnummern und Porttypen zugelassen. |
|
|
• = 0 bis 255 |
Die Frames von den genannten IP-Adressen werden für alle Portnummern und Porttypen abgewiesen. |
|
|
• = 0 bis 255 |
Die Frames von den IP-Adressen im genannten Bereich sind für alle Portnummern und Porttypen zugelassen. |
|
|
• = 0 bis 255 |
Die Frames von den IP-Adressen im genannten Bereich werden für alle Portnummern und Porttypen zurückgewiesen. |
|
|
Y = (Zielportnummern) |
Die Frames mit der genannten Zielportnummer sind zugelassen. |
|
|
Y = (Zielportnummern) |
Die Frames mit der genannten Zielportnummer werden zurückgewiesen.
HINWEIS: Wenn die IP-Weiterleitung aktiviert ist, filtern Regeln mit Reject-Port (Zurückweisungsport) nur Frames mit der aktuellen Steuerung als Ziel. Sie werden nicht auf die von der aktuellen Steuerung weitergeleiteten Frames angewendet.
|
|
|
Y = (Zielportnummern) |
Die Frames mit einer Zielportnummer im genannten Bereich sind zugelassen. |
|
|
Y = (Zielportnummern) |
Die Frames mit einer Zielportnummer im genannten Bereich werden zurückgewiesen. |
|
|
• = 0 bis 255 Y = (Zielportnummern) |
Die Frames von der genannten IP-Adresse und mit der genannten Zielportnummer sind zugelassen. |
|
|
• = 0 bis 255 Y = (Zielportnummern) |
Die Frames von der genannten IP-Adresse und mit der genannten Zielportnummer werden zurückgewiesen. |
|
|
• = 0 bis 255 Y = (Zielportnummern) |
Die Frames von der genannten IP-Adresse und mit einer Zielportnummer im genannten Bereich sind zugelassen. |
|
|
• = 0 bis 255 Y = (Zielportnummern) |
Die Frames von der genannten IP-Adresse und mit einer Zielportnummer im genannten Bereich werden zurückgewiesen. |
|
|
• = 0 bis 255 Y = (Zielportnummern) |
Die Frames von einer IP-Adresse im genannten Bereich und mit der genannten Zielportnummer sind zugelassen. |
|
|
• = 0 bis 255 Y = (Zielportnummern) |
Die Frames von einer IP-Adresse im genannten Bereich und mit der genannten Zielportnummer werden zurückgewiesen. |
|
|
• = 0 bis 255 Y = (Zielportnummern) |
Die Frames von einer IP-Adresse im genannten Bereich und mit einer Zielportnummer im genannten Bereich sind zugelassen. |
|
|
• = 0 bis 255 Y = (Zielportnummern) |
Die Frames von einer IP-Adresse im genannten Bereich und mit einer Zielportnummer im genannten Bereich werden zurückgewiesen. |
|
|
• = 0 bis F |
Die Frames von der genannten MAC-Adresse ••:••:••:••:•• sind zugelassen.
HINWEIS: Wenn Zulassungsregeln für MAC-Adressen angewendet werden, können nur die aufgelisteten MAC-Adressen mit der Steuerung kommunizieren, auch wenn andere Regeln zulässig sind.
|
|
|
• = 0 bis F |
Die Frames mit der genannten MAC-Adresse ••:••:••:••:•• werden zurückgewiesen. |
; Enable FireWall. All frames are rejected;
FireWall Enable;
; Allow frames on Eth1
FireWall Eth1 Default Allow;
; Block all Modbus Requests on all IP address
Firewall Eth1 Reject tcp port 502;
; Reject frames on Eth2
FireWall Eth2 Default Reject;
; Allow Fast TCP on interface ETH1. This allow to connect to the controller using TCP
Firewall Eth1 Allow TCP port 11740;
; Allow FTP active connection for IP address 85.16.0.17
FireWall Eth2 Allow IP 85.16.0.17 on tcp ports 20 to 21;
Beispiel:
"FireWall Eth2 Allow IPs 192.168.100.66 to 192.168.100.99 on tcp port 44818;", wird in 7 unterteilt:
192.168.100.66/31
192.168.100.68/30
192.168.100.72/29
192.168.100.80/28
192.168.100.96/27
192.168.100.128/26
192.168.100.192/29
Um einen Firewallfehler zu vermeiden, verwenden Sie die gesamte Subnetzkonfiguration.
|
Protokoll |
Zielportnummern |
|---|---|
|
Machine Expert |
UDP 1740, 1741, 1742, 1743 TCP 1105, 11740 (Fast TCP) |
|
FTP |
TCP 21 |
|
HTTP / HTTPS |
TCP 80, 443 (Webserver) TCP 8080 (Webvisualisierung) |
|
Modbus |
TCP 502 (1) |
|
OPC UA |
TCP 4840 |
|
DHCP |
UDP 67 (Server), 68 (Client) |
|
Machine Expert Discovery |
UDP 27126, 27127 |
|
SNMP |
UDP 161, 162 |
|
NVL |
UDP-Standardwert: 1202 |
|
EtherNet/IP |
UDP 2222 TCP 44818 |
|
TFTP |
UDP 69 (nur für FDR-Server verwendet) |
|
(1) Der Standardwert kann über den ModbusPort-Änderungsbefehl geändert werden. |
|