防火墙脚本命令

概述

本节介绍如何编写脚本文件(缺省脚本文件或动态脚本文件),以便在启动控制器期间或触发的特定命令期间执行脚本文件。

注: MAC 层规则被单独管理,其优先级高于其他包过滤规则。

脚本文件语法

脚本文件的语法说明见脚本语法指南

一般防火墙命令

提供下列命令以管理 M251 Logic Controller 以太网防火墙:

命令

描述

Firewall Enable

阻止来自 Ethernet 接口的帧。如果未授权特定 IP 地址,将无法在 Ethernet 接口上进行任何通讯。

注: 缺省情况下,在启用防火墙时,将拒绝帧。

Firewall Disable

不应用防火墙规则。不拦截帧。

Firewall Ethx Default Allow (1)

控制器接受帧。

Firewall Ethx Default Reject(1)

控制器拒绝帧。

注: 缺省情况下,如果不存在此行,则相当于命令 Firewall Eth1 Default Reject

(1) 其中,Ethx =

对于 TM251MESC:

  • Eth1:Ethernet_1

对于 TM251MESE:

  • Eth1:Ethernet_1

  • Eth2:Ethernet_2

特定防火墙命令

提供下列命令以配置特定端口和地址的防火墙规则:

命令

范围

描述

Firewall Eth1 Allow IP •.•.•.•

= 0...255

在所有端口号和端口类型上允许来自指定 IP 地址的帧。

Firewall Eth1 Reject IP •.•.•.•

= 0...255

在所有端口号和端口类型上拒绝来自指定 IP 地址的帧。

Firewall Eth1 Allow IPs •.•.•.• to •.•.•.•

= 0...255

所有端口号和端口类型都允许来自指定范围中的 IP 地址的帧。

Firewall Eth1 Reject IPs •.•.•.• to •.•.•.•

= 0...255

所有端口号和端口类型都拒绝来自指定范围中的 IP 地址的帧。

Firewall Eth1 Allow port_type port Y

Y =(目标端口号

允许带有指定目标端口号的帧。

Firewall Eth1 Reject port_type port Y

Y =(目标端口号

拒绝带有指定目标端口号的帧。

注: 在激活了 IP 转发后,拒绝端口规则仅滤除以当前控制器为目的地的帧。这些规则对于当前控制器路由的帧不适用。

Firewall Eth1 Allow port_type ports Y1 to Y2

Y =(目标端口号

允许带有指定范围中的目标端口号的帧。

Firewall Eth1 Reject port_type ports Y1 to Y2

Y =(目标端口号

拒绝带有指定范围中的目标端口号的帧。

Firewall Eth1 Allow IP •.•.•.• on port_type port Y

= 0...255

Y =(目标端口号

允许来自指定 IP 地址并带有指定目标端口号的帧。

Firewall Eth1 Reject IP •.•.•.• on port_type port Y

= 0...255

Y =(目标端口号

拒绝来自指定 IP 地址并带有指定目标端口号的帧。

Firewall Eth1 Allow IP •.•.•.• on port_type ports Y1 to Y2

= 0...255

Y =(目标端口号

允许来自指定 IP 地址并带有指定范围中的目标端口号的帧。

Firewall Eth1 Reject IP •.•.•.• on port_type ports Y1 to Y2

= 0...255

Y =(目标端口号

拒绝来自指定 IP 地址并带有指定范围中的目标端口号的帧。

Firewall Eth1 Allow IPs •1.•1.•1.•1 to •2.•2.•2.•2 on port_type port Y

= 0...255

Y =(目标端口号

允许来自指定范围中的 IP 地址并带有指定目标端口号的帧。

Firewall Eth1 Reject IPs •1.•1.•1.•1 to •2.•2.•2.•2 on port_type port Y

= 0...255

Y =(目标端口号

拒绝来自指定范围中的 IP 地址并带有指定目标端口号的帧。

Firewall Eth1 Allow IPs •1.•1.•1.•1 to •2.•2.•2.•2 on port_type ports Y1 to Y2

= 0...255

Y =(目标端口号

允许来自指定范围中的 IP 地址并带有指定范围中的目标端口号的帧。

Firewall Eth1 Reject IPs •1.•1.•1.•1 to •2.•2.•2.•2 on port_type ports Y1 to Y2

= 0...255

Y =(目标端口号

拒绝来自指定范围中的 IP 地址并带有指定范围中的目标端口号的帧。

Firewall Eth1 Allow MAC ••:••:••:••:••:••

• = 0...F

允许来自指定 MAC 地址 ••:••:••:••:•• 的帧。

注: 当应用了允许 MAC 地址的规则时,即便允许其他规则,也只有列出的 MAC 地址才能够与控制器通讯。

Firewall Eth1 Reject MAC ••:••:••:••:••:••

• = 0...F

拒绝带有指定 MAC 地址 ••:••:••:••:•• 的帧。

注: port_type 可以是 TCP 或 UDP。

脚本示例

; Enable FireWall. All frames are rejected;

FireWall Enable;

; Allow frames on Eth1

FireWall Eth1 Default Allow;

; Block all Modbus Requests on all IP address

Firewall Eth1 Reject tcp port 502;

; Reject frames on Eth2

FireWall Eth2 Default Reject;

; Allow Fast TCP on interface ETH1. This allow to connect to the controller using TCP

Firewall Eth1 Allow TCP port 11740;

; Allow FTP active connection for IP address 85.16.0.17

FireWall Eth2 Allow IP 85.16.0.17 on tcp ports 20 to 21;

注: IP 地址被转换为 CIDR 格式。

例如:

"FireWall Eth2 Allow IPs 192.168.100.66 to 192.168.100.99 on tcp port 44818;",划分为 7 个部分:

  • 192.168.100.66/31

  • 192.168.100.68/30

  • 192.168.100.72/29

  • 192.168.100.80/28

  • 192.168.100.96/27

  • 192.168.100.128/26

  • 192.168.100.192/29

如要防止防火墙错误,请使用完整的子网配置。

注: 每行字符数不超过 200 个(包括注释)。

使用的端口

协议

目标端口号

Machine Expert

UDP 1740、1741、1742、1743

TCP 1105、11740 (Fast TCP)

FTP

TCP 21

HTTP/HTTPS

TCP 80、443(Web 服务器)

TCP 8080 (WebVisualization)

Modbus

TCP 502 (1)

OPC UA

TCP 4840

DHCP

UDP 67(服务器)、68(客户端)

Machine Expert Discovery

UDP 27126、27127

SNMP

UDP 161、162

NVL

UDP 缺省值:1202

EtherNet/IP

UDP 2222

TCP 44818

TFTP

UDP 69(仅用于 FDR 服务器)

(1) 可使用 ModbusPort 命令更改缺省值。