Skriptbefehle für die Firewall

Überblick

In diesem Abschnitt wird beschrieben, wie Skriptdateien (Standardskriptdateien oder dynamische Skriptdateien) geschrieben werden müssen, damit sie beim Start der Steuerung bzw. bei einem bestimmten ausgelösten Befehl korrekt ausgeführt werden können.

HINWEIS: Die Regeln der MAC-Schicht werden separat verwaltet und haben höhere Priorität als die übrigen Paketfilterregeln.

Syntax einer Skriptdatei

Die Syntax von Skriptdateien wird unter Erstellen eines Skripts beschrieben.

Allgemeine Firewallbefehle

Für die Verwaltung der Ethernet-Firewall des M262 Logic/Motion Controller sind folgende Befehle verfügbar:

Befehl	Beschreibung
`Firewall Enable`	Blockiert die Frames von den Ethernet-Schnittstellen. Wenn keine spezifische IP-Adresse autorisiert ist, ist keine Kommunikation über die Ethernet-Schnittstellen möglich. HINWEIS: Standardmäßig werden die Frames bei aktivierter Firewall abgewiesen.
`Firewall Disable`	Firewall-Regeln werden nicht angewendet. Frames werden nicht blockiert.
`Firewall Ethx Default Allow` ⁽¹⁾	Frames werden von der Steuerung angenommen.
`Firewall Ethx Default Reject`⁽¹⁾	Frames werden von der Steuerung abgewiesen. HINWEIS: Wenn diese Zeile nicht vorhanden ist, entspricht sie standardmäßig dem Befehl `Firewall Eth1 Default Reject`.
(1) Hierbei gilt: Ethx = Eth1: Ethernet_1 Eth2: Ethernet_2 Eth3: TMSES4 (erstes Ethernet-Modul von links) Eth4: TMSES4 (zweites Ethernet-Modul von links) Eth5: TMSES4 (drittes Ethernet-Modul von links)

Spezifische Firewallbefehle

Für die Konfiguration der Firewallregeln für bestimmte Ports und Adressen sind folgende Befehle verfügbar:

Befehl	Bereich	Beschreibung
`Firewall Eth1 Allow IP •.•.•.•`	• = 0 bis 255	Die Frames von den genannten IP-Adressen sind für alle Portnummern und Porttypen zugelassen.
`Firewall Eth1 Reject IP •.•.•.•`	• = 0 bis 255	Die Frames von den genannten IP-Adressen werden für alle Portnummern und Porttypen abgewiesen.
`Firewall Eth1 Allow IPs •.•.•.• to •.•.•.•`	• = 0 bis 255	Die Frames von den IP-Adressen im genannten Bereich sind für alle Portnummern und Porttypen zugelassen.
`Firewall Eth1 Reject IPs •.•.•.• to •.•.•.•`	• = 0 bis 255	Die Frames von den IP-Adressen im genannten Bereich werden für alle Portnummern und Porttypen abgewiesen.
`Firewall Eth1 Allow port_type port Y`	Y = (Zielportnummern)	Die Frames mit der genannten Zielportnummer sind zugelassen.
`Firewall Eth1 Reject port_type port Y`	Y = (Zielportnummern)	Die Frames mit der genannten Zielportnummer werden zurückgewiesen.
`Firewall Eth1 Allow port_type ports Y1 to Y2`	Y = (Zielportnummern)	Die Frames mit einer Zielportnummer im genannten Bereich sind zugelassen.
`Firewall Eth1 Reject port_type ports Y1 to Y2`	Y = (Zielportnummern)	Die Frames mit einer Zielportnummer im genannten Bereich werden abgewiesen.
`Firewall Eth1 Allow IP •.•.•.• on port_type port Y`	• = 0 bis 255 Y = (Zielportnummern)	Die Frames von der genannten IP-Adresse und mit der genannten Zielportnummer sind zugelassen.
`Firewall Eth1 Reject IP •.•.•.• on port_type port Y`	• = 0 bis 255 Y = (Zielportnummern)	Die Frames von der genannten IP-Adresse und mit der genannten Zielportnummer werden abgewiesen.
`Firewall Eth1 Allow IP •.•.•.• on port_type ports Y1 to Y2`	• = 0 bis 255 Y = (Zielportnummern)	Die Frames von der genannten IP-Adresse und mit einer Zielportnummer im genannten Bereich sind zugelassen.
`Firewall Eth1 Reject IP •.•.•.• on port_type ports Y1 to Y2`	• = 0 bis 255 Y = (Zielportnummern)	Die Frames von der genannten IP-Adresse und mit einer Zielportnummer im genannten Bereich werden abgewiesen.
`Firewall Eth1 Allow IPs •1.•1.•1.•1 to •2.•2.•2.•2 on port_type port Y`	• = 0 bis 255 Y = (Zielportnummern)	Die Frames von einer IP-Adresse im genannten Bereich und mit der genannten Zielportnummer werden zugelassen.
`Firewall Eth1 Reject IPs •1.•1.•1.•1 to •2.•2.•2.•2 on port_type port Y`	• = 0 bis 255 Y = (Zielportnummern)	Die Frames von einer IP-Adresse im genannten Bereich und mit der genannten Zielportnummer werden abgewiesen.
`Firewall Eth1 Allow IPs •1.•1.•1.•1 to •2.•2.•2.•2 on port_type ports Y1 to Y2`	• = 0 bis 255 Y = (Zielportnummern)	Die Frames von einer IP-Adresse im genannten Bereich und mit einer Zielportnummer im genannten Bereich sind zugelassen.
`Firewall Eth1 Reject IPs •1.•1.•1.•1 to •2.•2.•2.•2 on port_type ports Y1 to Y2`	• = 0 bis 255 Y = (Zielportnummern)	Die Frames von einer IP-Adresse im genannten Bereich und mit einer Zielportnummer im genannten Bereich werden abgewiesen.
`Firewall Eth1 Allow MAC ••:••:••:••:••:••`	• = 0...F	Die Frames von der genannten MAC-Adresse ••:••:••:••:•• sind zugelassen. HINWEIS: Wenn Zulassungsregeln für MAC-Adressen angewendet werden, können nur die aufgelisteten MAC-Adressen mit der Steuerung kommunizieren, auch wenn andere Regeln zulässig sind.
`Firewall Eth1 Reject MAC ••:••:••:••:••:••`	• = 0 bis F	Die Frames mit der genannten MAC-Adresse ••:••:••:••:•• werden abgewiesen.
`Firewall Ethx` ⁽¹⁾ `Established to port_type port Y`	Y = 0 bis 65535	Frames, die von der Steuerung mit den Protokollen TCP/UDP an die angegebene Zielportnummer gesendet werden, sind zulässig.
(1) Wenn: x=0, USB-Port. x=1, Ethernet 1-Port. x=2, Ethernet 2-Port. x=3, Ethernet-Port des TMSES4 (erstes Ethernet-Modul von links). x=4: Ethernet-Port des TMSES4 (zweites Ethernet-Modul von links). x=5: Ethernet-Port des TMSES4 (drittes Ethernet-Modul von links).

Beispiel für ein Skript

Nachfolgend ist ein Beispiel für eine Firewall im Whitelist-Modus aufgeführt. In dem Beispiel ist standardmäßig die gesamte Kommunikation gesperrt, und nur die notwendigen Dienste sind zugelassen.

HINWEIS: In dem Beispiel werden die meisten mit der Firewall verfügbaren Befehle gezeigt. Es sollte an Ihre Konfiguration angepasst und vor der Implementierung getestet werden.

Befehle	Kommentare
`Firewall Enable`	Aktiviert die Firewall.
Eth1-Konfiguration
`Firewall Eth1 Default Reject`	Weist alle Frames über die Schnittstelle ETH1 zurück. In diesem Beispiel ist ETH1 mit dem Industrial Ethernet-Gerätenetzwerk verbunden und kann daher als relativ vertrauenswürdig betrachtet werden.
`Firewall Eth1 Allow TCP port 502`	Lässt den Modbus TCP-Server über die Schnittstelle ETH1 zu. Es erfolgt keine Modbus-Authentifizierung, daher sollte dies nur in vertrauenswürdigen Netzwerken gestattet werden.
`Firewall Eth1 Established to TCP port 502`	Gestattet Antworten auf die von der Steuerung hergestellte Kommunikation mit dem TCP-Port 502. Dies ist erforderlich, wenn die PlcCommunication-Bibliothek für die Kommunikation mit dem Modbus TCP-Protokoll verwendet wird.
`Firewall Eth1 Allow UDP port 2222`	Der ETHIP-Scanner kann implizit Antworten an den UDP-Port 2222 (ETHIP) über die Schnittstelle ETH1 austauschen.
`Firewall Eth1 Established to TCP port 44818`	Gestattet Antworten auf die von der Steuerung hergestellte Kommunikation mit dem TCP-Port 44818 (ETHIP) über die Schnittstelle ETH1. Die letzten 2 Befehle gestatten dem EtheNetIP-Scanner die Kommunikation mit den Industrial Ethernet-Geräten.
Eth2-Konfiguration
`Firewall Eth2 Default Reject`	Weist alle Frames über die Schnittstelle ETH2 zurück. Diese Schnittstelle ist mit einem Netzwerk verbunden, das in erster Linie für die Inbetriebnahme genutzt wird.
`Firewall Eth2 Allow TCP port 4840`	Lässt den OPC UA-Server über die Schnittstelle ETH2 zu.
`Firewall Eth2 Allow TCP port 443`	Lässt den Webserver (HTTPS) über die Schnittstelle ETH2 zu.
`Firewall Eth2 Allow TCP port 8089`	Lässt die Webvisualisierung (HTTPS) über die Schnittstelle ETH2 zu.
`Firewall Eth2 Allow TCP ports 20 to 21`	Lässt FTP im aktiven Modus über die Schnittstelle ETH2 zu.
`Firewall Eth2 Allow IP 192.168.1.1 on UDP ports 27126 to 27127`	Ermöglicht es der IP des Inbetriebnahme-PC, die IP-Adresse der Steuerung zu ermitteln und zu konfigurieren. Dies sollte nur in einem vertrauenswürdigen Netzwerk gestattet sein, da die IP geändert werden kann, auch wenn die Benutzerrechte konfiguriert sind.
`Firewall Eth2 Allow IPs 192.168.1.1 to 192.168.1.2 on UDP port 1740`	Ermöglicht es der IP des Inbetriebnahme-PC und einer HMI, mit der Steuerung über das Machine Expert-Protokoll zu kommunizieren.
`Firewall Eth2 Allow TCP port 11740`	Lässt Fast TCP über die Schnittstelle ETH2 zu. Dies ermöglicht es, eine Verbindung mit der Steuerung über TCP herzustellen.
`Firewall Eth2 Allow TCP port 2222`	Gestattet die implizite Kommunikation mit dem UDP-Port 2222 (ETHIP) über die Schnittstelle ETH2.
`Firewall Eth2 Allow TCP port 44818`	Gestattet die explizite Kommunikation mit dem TCP-Port 44818 (ETHIP) über die Schnittstelle ETH2. Die letzten beiden Befehle ermöglichen es, die Steuerung als EtherNetIP-Adapter zu verwenden.
`Firewall Eth2 Allow MAC 4C:CC:6A:A1:09:C8`	Lässt die MAC-Adresse der HMI zu.
`Firewall Eth2 Allow MAC 00:0C:29:92:43:A8`	Lässt die MAC-Adresse des Inbetriebnahme-PC zu. Nur zulässige MAC-Adressen können mit der Steuerung kommunizieren.
Eth3-Konfiguration TMSES4
`Firewall Eth3 Default Reject`	Weist Frames über TMSES4 zurück. Diese Schnittstelle ist mit dem Werknetzwerk verbunden und kann auf das Internet zugreifen. Sie sollte als nicht vertrauenswürdig betrachtet werden.
`Firewall Eth3 Established to TCP port 443`	Lässt den https-Client (zum Beispiel zum Einrichten einer Verbindung zu Machine Advisor) über die Schnittstelle TMSES4 zu.
`Firewall Eth3 Allow TCP port 11740`	Lässt Fast TCP über die Schnittstelle TMSES4 zu. Dies ermöglicht es, eine Remoteverbindung mit der Steuerung herzustellen. Dies darf nicht zulässig sein, es sei denn, die Benutzerrechte sind auf der Steuerung aktiviert.

HINWEIS: Es sind maximal 200 Zeichen pro Zeile gestattet, einschließlich Kommentare.

Verwendete Ports

Protokoll	Zielportnummern
Machine Expert	UDP 1740, 1741, 1742, 1743 TCP 11740
FTP	TCP 21, 20
HTTP⁽¹⁾	TCP 80⁽¹⁾
HTTPS	TCP 443
Modbus	TCP 502
Machine Expert Discovery	UDP 27126, 27127
Web Services Dynamic Discovery	UDP 3702 TCP 5357
SNMP	UDP 161, 162
NVL	UDP-Standardwert: 1202
EtherNet/IP	UDP 2222 TCP 44818
Webvisualization	HTTP 8080 HTTPS 8089
TFTP	UDP 69 (nur für FDR-Server verwendet)
SafeLogger	UDP 35021, 45000
Maschine Assistant	UDP 45001 bis 45004
OPC UA	TCP 4840
DHCP	UDP 68
NTP	UDP 123
Discovery Service	UDP 5353
(1) HTTP-Requests an TCP-Port 80 werden zur Verwendung von HTTPS an Port 443 umgeleitet.