En esta sección se describe cómo se escriben los archivos de script (archivos de script predeterminados o archivos de script dinámico) para que se puedan ejecutar durante el inicio del controlador o durante la activación de un comando específico.
La sintaxis de los archivos de script se describe en Directrices de la sintaxis de script.
Los siguientes comandos están disponibles para gestionar el cortafuegos de Ethernet de M241 Logic Controller:
|
Comando |
Descripción |
|---|---|
|
|
Bloquea las tramas desde las interfaces Ethernet. Si no se autoriza ninguna dirección IP específica, no es posible comunicarse en las interfaces Ethernet.
NOTA: De manera predeterminada, cuando se habilite el cortafuegos, se rechazarán las tramas.
|
|
|
Las reglas del cortafuegos no se aplican. Las tramas no se bloquean. |
|
|
El controlador acepta las tramas. |
|
|
El controlador rechaza las tramas.
NOTA: De manera predeterminada, si esta línea no está presente, corresponde al comando
Firewall Eth1 Default Reject.
|
|
(1)Donde Ethx =
|
|
Los siguientes comandos están disponibles para configurar normas del cortafuegos para puertos y direcciones específicos:
|
Comando |
Rango |
Descripción |
|---|---|---|
|
|
• = de 0 a 255 |
Se aceptan las tramas de la dirección IP especificada en todos los números y tipos de puerto. |
|
|
• = de 0 a 255 |
Se rechazan las tramas de la dirección IP especificada en todos los números y tipos de puerto. |
|
|
• = de 0 a 255 |
Se aceptan las tramas de las direcciones IP dentro del rango especificado para todos los números y tipos de puerto. |
|
|
• = de 0 a 255 |
Se rechazan las tramas de las direcciones IP dentro del rango especificado para todos los números y tipos de puerto. |
|
|
Se aceptan las tramas con el número de puerto de destino especificado. |
|
|
|
Se rechazan las tramas con el número de puerto de destino especificado.
NOTA: Cuando está activado el reenvío de IP, las normas con puerto de rechazo solamente filtran las tramas con el controlador actual como destino. No se aplican a tramas enrutadas por el controlador actual.
|
|
|
|
Se aceptan las tramas con un número de puerto de destino dentro del rango especificado. |
|
|
|
Se rechazan las tramas con un número de puerto de destino dentro del rango especificado. |
|
|
|
• = de 0 a 255 |
Se aceptan las tramas de la dirección IP especificada y con el número de puerto de destino especificado. |
|
|
• = de 0 a 255 |
Se rechazan las tramas de la dirección IP especificada y con el número de puerto de destino especificado. |
|
|
• = de 0 a 255 |
Se aceptan las tramas de la dirección IP especificada y con un número de puerto de destino dentro del intervalo especificado. |
|
|
• = de 0 a 255 |
Se rechazan las tramas de la dirección IP especificada y con un número de puerto de destino dentro del rango especificado. |
|
|
• = de 0 a 255 |
Se aceptan las tramas de una dirección IP dentro del rango especificado y con el número de puerto de destino especificado. |
|
|
• = de 0 a 255 |
Se rechazan las tramas de una dirección IP dentro del rango especificado y con el número de puerto de destino especificado. |
|
|
• = de 0 a 255 |
Se aceptan las tramas de una dirección IP dentro del rango especificado y con un número de puerto de destino dentro del intervalo especificado. |
|
|
• = de 0 a 255 |
Se rechazan las tramas de una dirección IP dentro del rango especificado y con un número de puerto de destino dentro del rango especificado. |
|
|
• = 0-F |
Se aceptan las tramas de la dirección MAC especificada ••:••:••:••:••.
NOTA: Cuando se aplican las reglas para permitir la dirección MAC, sólo las direcciones MAC de la lista pueden comunicarse con el controlador, aunque se permitan otras reglas.
|
|
|
• = 0-F |
Se rechazan las tramas de la dirección MAC especificada ••:••:••:••:••. |
; Enable FireWall. All frames are rejected;
FireWall Enable;
; Allow frames on Eth1
FireWall Eth1 Default Allow;
; Block all Modbus Requests on all IP address
Firewall Eth1 Reject tcp port 502;
; Reject frames on Eth2
FireWall Eth2 Default Reject;
; Allow Fast TCP on interface ETH1. This allow to connect to the controller using TCP
Firewall Eth1 Allow TCP port 11740;
; Allow FTP active connection for IP address 85.16.0.17
FireWall Eth2 Allow IP 85.16.0.17 on tcp ports 20 to 21;
Ejemplo:
"FireWall Eth2 Allow IPs 192.168.100.66 to 192.168.100.99 on tcp port 44818;", separado en 7:
192.168.100.66/31
192.168.100.68/30
192.168.100.72/29
192.168.100.80/28
192.168.100.96/27
192.168.100.128/26
192.168.100.192/29
Para evitar un error del cortafuegos, use toda la configuración de la subred.
|
Protocolo |
Números de puertos de destino |
|---|---|
|
Machine Expert |
UDP 1740, 1741, 1742, 1743 TCP 1105, 11740 (Fast TCP) |
|
FTP |
TCP 21 |
|
HTTP/HTTPS |
TCP 80, 443 (servidor web) TCP 8080 (visualización web) |
|
Modbus |
TCP 502 (1) |
|
OPC UA |
TCP 4840 |
|
DHCP |
UDP 67 (servidor), 68 (cliente) |
|
Detección de Machine Expert |
UDP 27126, 27127 |
|
SNMP |
UDP 161, 162 |
|
NVL |
Valor predeterminado UDP: 1202 |
|
EtherNet/IP |
UDP 2222 TCP 44818 |
|
TFTP |
UDP 69 (utilizado solo para servidor FDR) |
|
1) El valor predeterminado se puede modificar mediante el comando de modificación ModbusPort. |
|