Commandes de script de pare-feu

Présentation

Cette section décrit la syntaxe des fichiers de script (par défaut ou dynamiques) à respecter pour qu'ils s'exécutent correctement au démarrage du contrôleur ou lors du déclenchement d'une commande particulière.

NOTE : Les règles de la couche MAC sont gérées séparément et sont prioritaires par rapport aux autres règles de filtrage de paquets.

Syntaxe des fichiers de script

La syntaxe des fichiers de script est décrite dans Création d'un script.

Commandes de pare-feu générales

Les commandes suivantes permettent de gérer le pare-feu Ethernet du M262 Logic/Motion Controller :

Commande

Description

Firewall Enable

Bloque les trames provenant des interfaces Ethernet. Si aucune adresse IP spécifique n'est autorisée, il est impossible de communiquer sur les interfaces Ethernet.

NOTE : Par défaut, lorsque le pare-feu est activé, les trames sont rejetées.

Firewall Disable

Les règles de pare-feu ne s'appliquent pas. Les trames ne sont pas bloquées.

Firewall Ethx Default Allow (1)

Le contrôleur accepte toutes les trames.

Firewall Ethx Default Reject(1)

Le contrôleur rejette toutes les trames.

NOTE : Par défaut, si cette ligne est absente, l'option par défaut est Firewall Eth1 Default Reject.

(1) Où Ethx =

  • Eth1 : Ethernet_1

  • Eth2 : Ethernet_2

  • Eth3 : TMSES4 (premier module Ethernet à partir de la gauche)

  • Eth4 : TMSES4 (deuxième module Ethernet à partir de la gauche)

  • Eth5 : TMSES4 (troisième module Ethernet à partir de la gauche)

Commandes de pare-feu spécifiques

Les commandes suivantes permettent de configurer les règles de pare-feu pour certains ports et certaines adresses :

Commande

Plage

Description

Firewall Eth1 Allow IP •.•.•.•

= 0 à 255

Les trames provenant de l'adresse IP indiquée sont autorisées sur l'ensemble des ports, quel que soit leur type.

Firewall Eth1 Reject IP •.•.•.•

= 0 à 255

Les trames provenant de l'adresse IP indiquée sont rejetées sur l'ensemble des ports, quel que soit leur type.

Firewall Eth1 Allow IPs •.•.•.• to •.•.•.•

= 0 à 255

Les trames provenant des adresses IP de la plage indiquée sont autorisées sur l'ensemble des ports, quel que soit leur type.

Firewall Eth1 Reject IPs •.•.•.• to •.•.•.•

= 0 à 255

Les trames provenant des adresses IP de la plage indiquée sont rejetées sur l'ensemble des ports, quels que soient leur numéro et leur type.

Firewall Eth1 Allow port_type port Y

Y = (numéros de port de destination)

Les trames avec le numéro de port de destination spécifié sont autorisées.

Firewall Eth1 Reject port_type port Y

Y = (numéros de port de destination)

Les trames avec le numéro de port de destination spécifié sont rejetées.

Firewall Eth1 Allow port_type ports Y1 to Y2

Y = (numéros de port de destination)

Les trames avec un numéro de port de destination appartenant à la plage indiquée sont autorisées.

Firewall Eth1 Reject port_type ports Y1 to Y2

Y = (numéros de port de destination)

Les trames avec un numéro de port de destination appartenant à la plage indiquée sont rejetées.

Firewall Eth1 Allow IP •.•.•.• on port_type port Y

= 0 à 255

Y = (numéros de port de destination)

Les trames provenant de l'adresse IP spécifiée et avec le numéro de port de destination indiqué sont autorisées.

Firewall Eth1 Reject IP •.•.•.• on port_type port Y

= 0 à 255

Y = (numéros de port de destination)

Les trames provenant de l'adresse IP spécifiée et avec le numéro de port de destination indiqué sont rejetées.

Firewall Eth1 Allow IP •.•.•.• on port_type ports Y1 to Y2

= 0 à 255

Y = (numéros de port de destination)

Les trames provenant de l'adresse IP spécifiée et avec un numéro de port de destination appartenant à la plage indiquée sont autorisées.

Firewall Eth1 Reject IP •.•.•.• on port_type ports Y1 to Y2

= 0 à 255

Y = (numéros de port de destination)

Les trames provenant de l'adresse IP spécifiée et avec un numéro de port de destination appartenant à la plage indiquée sont rejetées.

Firewall Eth1 Allow IPs •1.•1.•1.•1 to •2.•2.•2.•2 on port_type port Y

= 0 à 255

Y = (numéros de port de destination)

Les trames en provenance d'une adresse IP figurant dans la plage spécifiée et avec le numéro de port de destination indiqué sont autorisées.

Firewall Eth1 Reject IPs •1.•1.•1.•1 to •2.•2.•2.•2 on port_type port Y

= 0 à 255

Y = (numéros de port de destination)

Les trames provenant d'une adresse IP figurant dans la plage spécifiée et avec le numéro de port de destination indiqué sont rejetées.

Firewall Eth1 Allow IPs •1.•1.•1.•1 to •2.•2.•2.•2 on port_type ports Y1 to Y2

= 0 à 255

Y = (numéros de port de destination)

Les trames provenant d'une adresse IP de la plage spécifiée et avec un numéro de port de destination appartenant à la plage indiquée sont autorisées.

Firewall Eth1 Reject IPs •1.•1.•1.•1 to •2.•2.•2.•2 on port_type ports Y1 to Y2

= 0 à 255

Y = (numéros de port de destination)

Les trames provenant d'une adresse IP de la plage spécifiée et avec un numéro de port de destination appartenant à la plage indiquée sont rejetées.

Firewall Eth1 Allow MAC ••:••:••:••:••:••

• = 0 à F

Les trames provenant de l'adresse MAC spécifiée ••:••:••:••:•• sont autorisées.

NOTE : Lorsque les règles autorisant l'adresse MAC sont appliquées, seules les adresses MAC répertoriées peuvent communiquer avec le contrôleur, même si d'autres règles sont autorisées.

Firewall Eth1 Reject MAC ••:••:••:••:••:••

• = 0 à F

Les trames provenant de l'adresse MAC indiquée ••:••:••:••:•• sont rejetées.

Firewall Ethx (1) Established to port_type port Y

Y = 0 à 65535

Les trames établies à partir du contrôleur avec les protocoles TCP/UDP vers le numéro de port de destination spécifié sont autorisées.

(1) Si :

  • x=0, port USB.

  • x=1, port Ethernet 1.

  • x=2, port Ethernet 2.

  • x=3, port Ethernet du TMSES4 (premier module Ethernet à partir de la gauche).

  • x=4, port Ethernet du TMSES4 (deuxième module Ethernet à partir de la gauche).

  • x=5, port Ethernet du TMSES4 (troisième module Ethernet à partir de la gauche).

Exemple de script

L'exemple suivant porte sur un pare-feu en mode liste blanche. Toutes les communications sont bloquées par défaut et seuls les services nécessaires sont autorisés.

NOTE : Cet exemple vise à vous présenter la plupart des commandes disponibles avec le pare-feu. Vous avez tout intérêt à l'adapter à votre configuration et à le tester avant sa mise en œuvre.

Commandes

Commentaires

Firewall Enable

Active le pare-feu.

Configuration Eth1

Firewall Eth1 Default Reject

Rejette toutes les trames sur l'interface ETH1.

Dans cet exemple, l'interface ETH1 est connectée au réseau d'équipements Ethernet industriel et peut donc être considérée comme relativement fiable.

Firewall Eth1 Allow TCP port 502

Autorise le serveur Modbus TCP sur l'interface ETH1.

Compte tenu de l'absence d'authentification sur Modbus, cela doit être autorisé uniquement sur les réseaux fiables.

Firewall Eth1 Established to TCP port 502

Autorise les réponses aux communications établies par le contrôleur sur le port TCP 502.

Cela est nécessaire lorsque la bibliothèque PlcCommunication est utilisée pour communiquer à l'aide du protocole Modbus TCP.

Firewall Eth1 Allow UDP port 2222

Autorise les réponses d'échanges implicites du scrutateur ETHIP sur le port UDP 2222 (ETHIP) de l'interface ETH1.

Firewall Eth1 Established to TCP port 44818

Autorise les réponses aux communications établies par le contrôleur sur le port TCP 44818 (ETHIP) de l'interface ETH1.

Les 2 dernières commandes autorisent le scrutateur EtheNetIP à communiquer avec les équipements de type Ethernet industriel.

Configuration Eth2

Firewall Eth2 Default Reject

Rejette toutes les trames sur l'interface ETH2. Cette interface est connectée à un réseau utilisée principalement pour la mise en service.

Firewall Eth2 Allow TCP port 4840

Autorise le serveur OPC-UA sur l'interface ETH2.

Firewall Eth2 Allow TCP port 443

Autorise le serveur Web (https) sur l'interface ETH2.

Firewall Eth2 Allow TCP port 8089

Autorise web visu (https) sur l'interface ETH2.

Firewall Eth2 Allow TCP ports 20 to 21

Autorise ftp en mode actif sur l'interface ETH2.

Firewall Eth2 Allow IP 192.168.1.1 on UDP ports 27126 to 27127

Autorise l'adresse IP du PC de mise en service à découvrir et à configurer l'adresse IP du contrôleur.

Cela doit être autorisé uniquement sur un réseau fiable, car l'adresse IP peut être changée même si les droits utilisateur sont configurés.

Firewall Eth2 Allow IPs 192.168.1.1 to 192.168.1.2 on UDP port 1740

Autorise l'adresse IP du PC de mise en service et un HMI à communiquer avec le contrôleur à l'aide du protocole Machine Expert.

Firewall Eth2 Allow TCP port 11740

Autorise le protocole Fast TCP sur l'interface ETH2. Cela permet de se connecter au contrôleur à l'aide de TCP.

Firewall Eth2 Allow TCP port 2222

Autorise la communication implicite avec le port UDP 2222 (ETHIP) de l'interface ETH2.

Firewall Eth2 Allow TCP port 44818

Autorise la communication explicite sur le port TCP 44818 (ETHIP) de l'interface ETH2. Les 2 dernières commandes permettent d'utiliser le contrôleur comme adaptateur EtherNetIP.

Firewall Eth2 Allow MAC 4C:CC:6A:A1:09:C8

Autorise l'adresse MAC de l'IHM.

Firewall Eth2 Allow MAC 00:0C:29:92:43:A8

Autorise l'adresse MAC du PC de mise en service. Seule l'adresse MAC autorisée peut communiquer avec le contrôleur.

Configuration Eth3 TMSES4

Firewall Eth3 Default Reject

Rejette les trames sur TMSES4. Cette interface est connectée au réseau de l'usine et peut accéder au Web. Elle doit être considérée comme non fiable.

Firewall Eth3 Established to TCP port 443

Autorise le client https (à se connecter à Machine Advisor, par exemple) sur l'interface TMSES4.

Firewall Eth3 Allow TCP port 11740

Autorise le protocole Fast TCP sur l'interface TMSES4. Cela permet de se connecter au contrôleur à distance. ll ne doit être autorisé que si les droits utilisateurs sont activés sur le contrôleur.

NOTE : Les caractères sont limités à 200 par ligne, commentaires inclus.

Ports utilisés

Protocole

Numéros de ports de destination

Machine Expert

UDP 1740, 1741, 1742, 1743

TCP 11740

FTP

TCP 21, 20

HTTP (1)

TCP 80 (1)

HTTPS

TCP 443

Modbus

TCP 502

Machine Expert Discovery

UDP 27126, 27127

Découverte dynamique des services Web

UDP 3702

TCP 5357

SNMP

UDP 161, 162

NVL

Valeur par défaut UDP : 1202

EtherNet/IP

UDP 2222

TCP 44818

Webvisualization

HTTP 8080

HTTPS 8089

TFTP

UDP 69 (utilisé pour le serveur FDR uniquement)

SafeLogger

UDP 35021, 45000

Machine Assistant

UDP 45001 à 45004

OPC UA

TCP 4840

DHCP

UDP 68

NTP

UDP 123

Service de découverte

UDP 5353

(1) Les requêtes HTTP vers le port TCP 80 seront redirigées pour utiliser HTTPS sur le port 443.