Configurar regras de firewall

Esta página fornece orientações sobre como configurar regras de firewall do Google Cloud e suas regras de firewall de rede de peering.

Ao configurar túneis do Cloud VPN para se conectar à sua rede de peering, revise e modifique regras de firewall no Google Cloud e em redes de peering para garantir que atendam às suas necessidades. Se a rede de peering for outra rede de nuvem privada virtual (VPC), configure as regras de firewall do Google Cloud para os dois lados da conexão de rede.

Para mais informações sobre o Cloud VPN, consulte os seguintes recursos:

Regras de firewall do Google Cloud

As regras de firewall do Google Cloud aplicam-se a pacotes enviados e recebidos de instâncias de máquina virtual (VM) na rede VPC e através dos túneis do Cloud VPN.

A regra de saída de permissão implícita permite que instâncias de VM e outros recursos na sua rede do Google Cloud façam solicitações de saída e recebam respostas estabelecidas. No entanto, a regra negar entrada implícita bloqueia todo o tráfego de entrada para seus recursos do Google Cloud.

Crie pelo menos uma regra de firewall para permitir o tráfego de entrada da sua rede de peering para o Google Cloud. Se você criou regras de saída para negar determinados tipos de tráfego, talvez também seja necessário criar outras regras.

O tráfego que contém os protocolos UDP 500, UDP 4500 e ESP (IPSec, protocolo IP 50) sempre é permitido entre um ou mais endereços IP externos em um gateway do Cloud VPN. No entanto, as regras de firewall do Google Cloud não se aplicam aos pacotes IPSec pós-encapsulados que são enviados de um gateway do Cloud VPN para um gateway de VPN de peering.

Para mais informações sobre as regras de firewall do Google Cloud, consulte a visão geral das regras de firewall da VPC.

Exemplos de configurações

Para vários exemplos de restrição de tráfego de entrada ou saída, consulte os exemplos de configuração na documentação da VPC.

O exemplo a seguir cria uma regra de firewall de permissão de entrada. Essa regra permite todo o tráfego TCP, UDP e ICMP do CIDR da rede de peering para as VMs na sua rede VPC.

Console

  1. No console do Google Cloud, acesse a página Túneis de VPN.

    Acessar túneis de VPN

  2. Clique no túnel da VPN que você quer usar.

  3. Na seção Gateway da VPN, clique no nome da rede VPC. Essa ação leva você à página de detalhes da rede VPC que contém o túnel.

  4. Clique na guia Regras de firewall.

  5. Clique em Adicionar regra de firewall. Adicione uma regra para TCP, UDP e ICMP:

    • Nome: insira allow-tcp-udp-icmp.
    • Filtro de origem:selecione IPv4 ranges.
    • Intervalos de IPs de origem: insira um valor de Intervalo de IP da rede remota no momento em que o túnel foi criado. Caso tenha mais de um intervalo de rede de peering, insira cada um deles. Pressione a tecla Tab entre as entradas. Para permitir o tráfego de todos os endereços IPv4 de origem na rede de peering, especifique 0.0.0.0/0.
    • Portas ou protocolos especificados: selecione tcp e udp.
    • Outros protocolos: insira icmp.
    • Tags de destino: qualquer tag ou tags válidas

  6. Clique em Criar.

Se você precisar permitir o acesso a endereços IPv6 da sua rede VPC pela rede de peering, adicione uma regra de firewall allow-ipv6-tcp-udp-icmpv6.

  1. Clique em Adicionar regra de firewall. Adicione uma regra para TCP, UDP e ICMPv6:
    • Nome: insira allow-ipv6-tcp-udp-icmpv6.
    • Filtro de origem:selecione IPv6 ranges.
    • Intervalos de IPs de origem: insira um valor de Intervalo de IP da rede remota no momento em que o túnel foi criado. Caso tenha mais de um intervalo de rede de peering, insira cada um deles. Pressione a tecla Tab entre as entradas. Para permitir o tráfego de todos os endereços IPv6 de origem na rede de peering, especifique ::/0.
    • Portas ou protocolos especificados: selecione tcp e udp.
    • Outros protocolos: insira 58. 58 é o número do protocolo para ICMPv6.
    • Tags de destino: qualquer tag ou tags válidas
  2. Clique em Criar.

Crie outras regras de firewall se for necessário.

Como alternativa, é possível criar regras a partir da página Firewall do Console do Google Cloud.

gcloud

Execute este comando:

gcloud  compute --project PROJECT_ID firewall-rules create allow-tcp-udp-icmp \
    --network NETWORK \
    --allow tcp,udp,icmp \
    --source-ranges IPV4_PEER_SOURCE_RANGE

Substitua IPV4_PEER_SOURCE_RANGE por intervalos de IPv4 de origem da sua rede de peering.

Se você tiver mais de um intervalo de rede de peering, forneça uma lista separada por vírgulas no campo de intervalos de origem (--source-ranges 192.168.1.0/24,192.168.2.0/24).

Para permitir o tráfego de todos os endereços IPv4 de origem na rede de peering, especifique 0.0.0.0/0.

Regras de firewall IPv6

Se você precisar permitir o acesso a endereços IPv6 da sua rede VPC pela rede de peering, adicione uma regra de firewall allow-ipv6-tcp-udp-icmpv6.

gcloud  compute --project PROJECT_ID firewall-rules create allow-ipv6-tcp-udp-icmpv6 \
    --network NETWORK \
    --allow tcp,udp,58 \
    --source-ranges IPV6_PEER_SOURCE_RANGE

58 é o número do protocolo para ICMPv6.

Substitua PEER_SOURCE_RANGE pelos intervalos IPv6 de origem da rede de peering. Se você tiver mais de um intervalo de rede de peering, forneça uma lista separada por vírgulas no campo de intervalos de origem (--source-ranges 2001:db8:aa::/64,2001:db8:bb::/64).

Para permitir o tráfego de todos os endereços IPv6 de origem na rede de peering, especifique ::/0.

Outras regras de firewall

Crie outras regras de firewall se for necessário.

Para mais informações sobre o comando firewall-rules, consulte a documentação sobre gcloud regras de firewall.

Regras de firewall de redes com peering

Ao configurar suas regras de firewall de redes com peering, considere o seguinte:

  • Você precisa configurar regras para permitir o tráfego de entrada e de saída entre os intervalos de IP usados pelas sub-redes na sua rede VPC.
  • Outra alternativa é permitir todos os protocolos e portas ou restringir o tráfego apenas ao conjunto de protocolos e portas necessário para atender às suas necessidades.
  • Permita o tráfego ICMP se você precisar usar ping para se comunicar entre sistemas de peering e instâncias ou recursos no Google Cloud.
  • Se você precisar acessar endereços IPv6 na sua rede de peering com ping, permita o ICMPv6 (protocolo IP 58) no firewall de peering.
  • Tanto seus dispositivos de rede (dispositivos de segurança, firewalls, chaves, roteadores e gateways) quanto o software em execução nos sistemas, como o software de firewall incluído em um sistema operacional, podem implementar o firewall local. regras. Para permitir o tráfego, configure todas as regras de firewall no caminho para sua rede VPC corretamente.
  • Se seu túnel da VPN usa roteamento dinâmico (BGP), permita o tráfego BGP para os endereços IP link-local. Para mais detalhes, consulte a próxima seção.

Considerações sobre o BGP para gateways de peering

As trocas de roteamento dinâmico (BGP) encaminham informações usando a porta TCP 179. Alguns gateways da VPN, incluindo gateways do Cloud VPN, permitem esse tráfego automaticamente quando você escolhe o roteamento dinâmico. Se o gateway da VPN de peering não permitir, você precisa configurá-lo para permitir tráfego de entrada e saída na porta TCP 179. Todos os endereços IP BGP usam o bloco CIDR 169.254.0.0/16 de link local.

Se o gateway da VPN de peering não estiver diretamente conectado à Internet, verifique se os roteadores, firewalls e dispositivos de segurança de peering estão configurados para passar pelo menos o tráfego BGP (porta TCP 179) e o tráfego ICMP para o gateway da VPN. O ICMP não é obrigatório, mas é útil para testar a conectividade entre um Cloud Router e o gateway da VPN. O intervalo de endereços IP ao qual sua regra de firewall de peering deve ser aplicada precisa incluir os endereços IP do BGP do Cloud Router e seu gateway.

A seguir