Configurar reglas de cortafuegos

Es necesario aprovisionar manualmente las reglas de cortafuegos de una instancia de un dispositivo aislado de Google Distributed Cloud (GDC) debido a la asignación estática de la red de gestión y a la mínima huella de tráfico de red.

Debes aplicar manualmente las políticas de cortafuegos basadas en hosts para los flujos de tráfico de red en la red de gestión del dispositivo aislado de GDC. Para aplicar reglas de filtrado de puertos e IPs en las interfaces de red de las máquinas físicas, usa la biblioteca de comandos del cortafuegos sencillo (ufw).

Aplicar reglas de cortafuegos

La red de gestión del dispositivo air-gapped de GDC es eno1. Las direcciones IP estáticas de las máquinas del dispositivo air-gapped de GDC son las siguientes:

Nombre del equipo Dirección IP
xx-aa-bm01 198.18.255.228 (administrador raíz o administrador de la organización)
xx-aa-bm02 198.18.255.229
xx-aa-bm03 198.18.255.230

Para aplicar las reglas de cortafuegos a la red de gestión, sigue estos pasos:

  1. Establece una conexión Secure Shell (SSH) desde el equipo o el portátil de arranque a la máquina bm01 mediante la clave SSH predeterminada proporcionada por Google. 

    ssh 198.18.255.228

  2. Configura las rutas predeterminadas en la interfaz de gestión de bm01:

    sudo ufw default allow outgoing
sudo ufw default allow incoming

  3. Configura las políticas en los nodos de administrador raíz bm01. Estas políticas permiten incluir en una lista de permitidos el tráfico de la red de gestión entre los distintos dispositivos del dispositivo aislado de GDC. Las políticas también permiten el acceso SSH desde todas las máquinas físicas, así como desde la máquina o el portátil de arranque:

    sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 6385 proto tcp
sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 6385 proto tcp
sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 6180 proto tcp
sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 6180 proto tcp
sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 5050 proto tcp
sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 5050 proto tcp
sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 67 proto udp
sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 67 proto udp
sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 69 proto udp
sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 69 proto udp
sudo ufw allow in on eno1 from 198.18.255.225 to 198.18.255.228 port 69 proto udp
sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 22 proto tcp
sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 22 proto tcp
sudo ufw allow in on eno1 from 198.18.255.254 to 198.18.255.228 port 22 proto tcp
sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 123 proto udp
sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 123 proto udp
sudo ufw deny in on eno1

  4. Habilita las políticas ufw en bm01:

    sudo ufw enable

  5. Desconecta tu sesión SSH de bm01.

  6. Establece una conexión Secure Shell (SSH) desde el equipo o el portátil de arranque a la máquina bm02 mediante la clave SSH predeterminada proporcionada por Google. 

    ssh 198.18.255.229

  7. Configura las rutas predeterminadas en la interfaz de gestión de bm02:

    sudo ufw default allow outgoing
sudo ufw default allow incoming

  8. Configura las políticas en el nodo de organización bm02:

    sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.229 port 443 proto tcp
sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.229 port 67 proto udp
sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.229 port 68 proto udp 
sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.229 port 22 proto tcp
sudo ufw allow in on eno1 from 198.18.255.254 to 198.18.255.229 port 22 proto tcp
sudo ufw deny in on eno1

  9. Habilita las políticas ufw en bm02:

    sudo ufw enable

  10. Desconecta tu sesión SSH de bm02.

  11. Establece una conexión Secure Shell (SSH) desde el equipo o el portátil de arranque hasta el equipo bm03 mediante la clave SSH predeterminada proporcionada por Google. 

    ssh 198.18.255.230

  12. Configura las rutas predeterminadas en la interfaz de gestión de bm03:

    sudo ufw default allow outgoing
sudo ufw default allow incoming

  13. Configura las políticas en el nodo de organización bm03:

    sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.230 port 443 proto tcp
sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.230 port 67 proto udp
sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.230 port 68 proto udp
sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.230 port 22 proto tcp
sudo ufw allow in on eno1 from 198.18.255.254 to 198.18.255.230 port 22 proto tcp
sudo ufw deny in on eno1

  14. Habilita las políticas de ufw:

    sudo ufw enable