Zugriffsbeschränkung für Feldbuskoppler

pvbrowser

pvbrowser

Level-1
Beiträge
470
Reaktionspunkte
44
Zuviel Werbung?
-> Hier kostenlos registrieren
Die folgende Mail hatte ich gerade an info at wago geschickt.
Hier sollte die Frage aber besser aufgehoben sein.
#########################
Guten Tag,

Ihr Feldbus Koppler WAGO 750-352 mit Modbus TCP Protokoll eignet sich hervorragend für Anwendungen zusammen mit unserer
quelloffenen HMI/SCADA Software pvbrowser.

Da der Feldbuskoppler auf Linux basiert, müsste es doch möglich sein iptables zur Zugriffskontrolle zu verwenden.
Ich würde gerne eine "iptables accept" Regel verwenden, um sicherzustellen, dass der Feldbuskoppler nur connect Requests von einem projektierten Master im gleichen LAN entgegennimmt.

Frage:
Ist bei Ihrem Feldbuskoppler vorgesehen selber Iptables Regeln vorgeben zu können?

Viele Grüße:
xxx
http://pvbrowser.org
 
Hallo pvbrowser,

es scheint da ein Missverständnis zu geben. Nur unsere neue 750-820x Serie und die Wago IPC's 758-87x basieren auf dem Betriebssystem Linux.
Dies ist bei dem 750-352 leider nicht der Fall. Daher ist iptables dort keine Option.
Eine Zugriffsbeschränkung ist für den Modbus Slave des 750-352 nicht vorgesehen.
Der Zugriff von von Außerhalb des lokalen Netzwerkes (LAN) könnte durch den Netzübergang (Router/Gateway) geregelt werden.
 
Zuletzt bearbeitet:
Zuviel Werbung?
-> Hier kostenlos registrieren
.:WAGO::015844:. schrieb:
Eine Zugriffsbeschränkung ist für den Modbus Slave des 750-352 nicht vorgesehen.
Der Zugriff von von Außerhalb des lokalen Netzwerkes (LAN) könnte durch den Netzübergang (Router/Gateway) realisiert werden.
Zum Vergrößern anklicken....

Schade, es wäre schön gewesen, wenn man den Felbuskoppler NUR für den projektierten/authorisierten Host Rechner freigeben könnte.
Das halte ich für einen wichtigen Sicherheitsaspekt.

Betrachten Sie das bitte als ein "feature request", wie man neudeutsch sagt.

PS: Von Außerhalb des lokalen Netzwerkes(LAN) soll gerade KEIN direkter Zugriff auf den Feldbus möglich sein.
 
Hallo pvbrowser,

so war's auch gemeint. Ich habe das mal berichtigt.
Den "feature request" nehme ich gerne auf und gebe das an unsere Entwicklung weiter.
 
PN/DP schrieb:
Trage bei der IP-Konfiguration kein Gateway ein, dann kann von außerhalb des von der Netmask begrenzten LAN keine Verbindung aufgebaut werden. Oder das Gateway muß halt filtern.
Zum Vergrößern anklicken....

Ich möchte erreichen, dass der Modbus TCP Feldbuskoppler nur auf ein connect()
http://pubs.opengroup.org/onlinepubs/009695399/functions/connect.html
Request von 1 IP Adresse reagiert, die ich vorher mal (mit iptables) eingestellt habe
Siehe: http://www.howtogeek.com/177621/the-beginners-guide-to-iptables-the-linux-firewall/

Alle anderen connect() Requests sollen von iptables gedropped werden.
Und zwar auch von allen anderen Rechner, die sich im lokalen Subnetz befinden.
Nur auf connect() Requests von dem EINEN vorher konfigurierten Rechner soll geantworted werden.
 
Hallo lord2k3,

der 'MAC Address Filter' kann selbstverständlich genutzt werden. Dieser beschränkt sich aber nicht nur auf die Modbus Kommunikation.
 
Zuviel Werbung?
-> Hier kostenlos registrieren
.:WAGO::015844:. schrieb:
der 'MAC Address Filter' kann selbstverständlich genutzt werden. Dieser beschränkt sich aber nicht nur auf die Modbus Kommunikation.
Zum Vergrößern anklicken....

Das würde schon weiterhelfen.
In den Handbüchern (PDF) im Internet konnte ich aber nichts zu "MAC Filter" finden.

Wo kann ich das nachlesen?
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Ein Grund, warum die iptables-lösung vorzuziehen wäre ist:

Bei der Lösung arbeitet man mit IP-Adressen.
Beim einem Austausch des Hostrechners, müssten nur die IP-Adressen wieder wie zuvor eingestellt werden.
MAC Adressen verändern sollte man ja nicht.
 
Zurück
Oben