Configura reglas de firewall

Se requiere el aprovisionamiento manual de reglas de firewall para una instancia de dispositivo aislado de Google Distributed Cloud (GDC) debido a la asignación estática de la red de administración junto con la huella mínima de tráfico de red.

Debes aplicar de forma manual las políticas de firewall basadas en el host para los flujos de tráfico de red en la red de administración del dispositivo aislado de GDC. Para aplicar reglas de filtrado de puertos y de IP en las interfaces de red de las máquinas de metal, usa la biblioteca de comandos de Uncomplicated Firewall (ufw).

Aplica reglas de firewall

La red de administración del dispositivo aislado de GDC es eno1. Las direcciones IP estáticas de las máquinas del dispositivo aislado de GDC son las siguientes:

Nombre de la máquina Dirección IP
xx-aa-bm01 198.18.255.228 (administrador raíz o administrador de la organización)
xx-aa-bm02 198.18.255.229
xx-aa-bm03 198.18.255.230

Para aplicar las reglas de firewall a la red de administración, sigue estos pasos:

  1. Establece una conexión de Secure Shell (SSH) desde la máquina o la laptop de arranque a la máquina bm01 con la clave SSH predeterminada que proporciona Google.

    ssh 198.18.255.228
    
  2. Configura las rutas predeterminadas en la interfaz de administración de bm01:

    sudo ufw default allow outgoing
    sudo ufw default allow incoming
    
  3. Configura las políticas en los nodos de administrador raíz bm01. Estas políticas permiten el tráfico en la lista de entidades permitidas en la red de administración entre los distintos dispositivos del dispositivo aislado de GDC. Las políticas también permiten el acceso a SSH desde todas las máquinas físicas, junto con la máquina o la laptop de arranque:

    sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 6385 proto tcp
    sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 6385 proto tcp
    sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 6180 proto tcp
    sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 6180 proto tcp
    sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 5050 proto tcp
    sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 5050 proto tcp
    sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 67 proto udp
    sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 67 proto udp
    sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 69 proto udp
    sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 69 proto udp
    sudo ufw allow in on eno1 from 198.18.255.225 to 198.18.255.228 port 69 proto udp
    sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 22 proto tcp
    sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 22 proto tcp
    sudo ufw allow in on eno1 from 198.18.255.254 to 198.18.255.228 port 22 proto tcp
    sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 123 proto udp
    sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 123 proto udp
    sudo ufw deny in on eno1
    
  4. Habilita las políticas de ufw en bm01:

    sudo ufw enable
    
  5. Desconecta tu sesión de SSH de bm01.

  6. Establece una conexión de Secure Shell (SSH) desde la máquina o laptop de arranque a la máquina bm02 con la clave SSH predeterminada que proporciona Google.

    ssh 198.18.255.229
    
  7. Configura las rutas predeterminadas en la interfaz de administración de bm02:

    sudo ufw default allow outgoing
    sudo ufw default allow incoming
    
  8. Configura las políticas en el nodo de la organización bm02:

    sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.229 port 443 proto tcp
    sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.229 port 67 proto udp
    sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.229 port 68 proto udp 
    sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.229 port 22 proto tcp
    sudo ufw allow in on eno1 from 198.18.255.254 to 198.18.255.229 port 22 proto tcp
    sudo ufw deny in on eno1
    
  9. Habilita las políticas de ufw en bm02:

    sudo ufw enable
    
  10. Desconecta tu sesión de SSH de bm02.

  11. Establece una conexión de Secure Shell (SSH) desde la máquina o la laptop de arranque a la máquina bm03 con la clave SSH predeterminada que proporciona Google.

    ssh 198.18.255.230
    
  12. Configura las rutas predeterminadas en la interfaz de administración de bm03:

    sudo ufw default allow outgoing
    sudo ufw default allow incoming
    
  13. Configura las políticas en el nodo de la organización bm03:

    sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.230 port 443 proto tcp
    sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.230 port 67 proto udp
    sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.230 port 68 proto udp
    sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.230 port 22 proto tcp
    sudo ufw allow in on eno1 from 198.18.255.254 to 198.18.255.230 port 22 proto tcp
    sudo ufw deny in on eno1
    
  14. Habilita las políticas de ufw:

    sudo ufw enable