Esta página se ha traducido con Cloud Translation API.

Configurar reglas de cortafuegos

En esta página se ofrecen directrices para configurar las reglas de Google Cloud cortafuegos y las reglas de cortafuegos de tu red entre iguales.

Cuando configures túneles de Cloud VPN para conectarte a tu red de emparejamiento, revisa y modifica las reglas de cortafuegos de tus redes y de las de emparejamiento para asegurarte de que se ajustan a tus necesidades. Google Cloud Si tu red de emparejamiento es otra red de nube privada virtual (VPC), configura Google Cloud reglas de cortafuegos Google Cloud para ambos extremos de la conexión de red.

Para obtener más información sobre Cloud VPN, consulta los siguientes recursos:

Para consultar las prácticas recomendadas que debes tener en cuenta antes de configurar Cloud VPN, consulta Prácticas recomendadas.
Para obtener más información sobre Cloud VPN, consulta la información general sobre Cloud VPN.
Para ver las definiciones de los términos que se usan en esta página, consulta Términos clave.

Google Cloud Reglas de cortafuegos

Google Cloud Las reglas de cortafuegos se aplican a los paquetes enviados a las instancias de máquina virtual (VM) de tu red de VPC y a los que se envían desde ellas, así como a los que se envían a través de túneles de Cloud VPN.

Las reglas de salida implícita permitida permiten que las instancias de VM y otros recursos de tu Google Cloud red hagan solicitudes salientes y reciban respuestas establecidas. Sin embargo, la regla de denegación implícita de entrada bloquea todo el tráfico entrante a tus recursos de Google Cloud .

Como mínimo, crea reglas de cortafuegos para permitir el tráfico de entrada desde tu red de peer a Google Cloud. Si has creado reglas de salida para denegar determinados tipos de tráfico, es posible que también tengas que crear otras reglas de salida.

El tráfico que contiene los protocolos UDP 500, UDP 4500 y ESP (IPsec, protocolo IP 50) siempre se permite hacia y desde una o varias direcciones IP externas en una pasarela de Cloud VPN. Sin embargo,las Google Cloud reglas de firewall no se aplican a los paquetes IPsec post-encapsulados que se envían desde una pasarela de Cloud VPN a una pasarela de VPN de un par.

Para obtener más información sobre las Google Cloud reglas de cortafuegos, consulta la descripción general de las reglas de cortafuegos de VPC.

Configuraciones de ejemplo

Para ver varios ejemplos de restricción del tráfico de entrada o salida, consulta los ejemplos de configuración de la documentación de VPC.

En el siguiente ejemplo se crea una regla de cortafuegos ingress allow. Esta regla permite todo el tráfico TCP, UDP e ICMP desde el CIDR de tu red de peer a tus VMs de tu red de VPC.

Permisos que se necesitan para completar esta tarea

Para llevar a cabo esta tarea, debes tener los siguientes permisos o los siguientes roles de gestión de identidades y accesos.

Roles

roles/compute.securityAdmin

Consola

En la Google Cloud consola, ve a la página Túneles VPN.

Ir a túneles VPN
Haz clic en el túnel VPN que quieras usar.
En la sección Pasarela VPN, haz clic en el nombre de la red de VPC. Esta acción te dirige a la página Detalles de la red de VPC que contiene el túnel.
Haga clic en la pestaña Reglas de cortafuegos.
Haz clic en Añadir regla de cortafuegos. Añade una regla para TCP, UDP e ICMP:
- Nombre: escribe allow-tcp-udp-icmp.
- Filtro de origen: selecciona Intervalos de IPv4.
- Intervalos de IPs de origen: introduce un valor de Intervalo de IPs de red remota de cuando creaste el túnel. Si tienes más de un intervalo de red entre iguales, introduce cada uno. Pulsa la tecla Tabulador entre las entradas. Para permitir el tráfico de todas las direcciones IPv4 de origen de tu red de pares, especifica 0.0.0.0/0.
- Protocolos o puertos especificados: selecciona tcp y udp.
- Otros protocolos: introduce icmp.
- Etiquetas de segmentación: añade las etiquetas válidas que quieras.
Haz clic en Crear.

Si necesitas permitir el acceso a direcciones IPv6 en tu red de VPC desde tu red de emparejamiento, añade una allow-ipv6-tcp-udp-icmpv6 regla de cortafuegos.

Haz clic en Añadir regla de cortafuegos. Añade una regla para TCP, UDP e ICMPv6:
- Nombre: escribe allow-ipv6-tcp-udp-icmpv6.
- Filtro de origen: selecciona Intervalos de IPv6.
- Intervalos de IPs de origen: introduce un valor de Intervalo de IPs de red remota de cuando creaste el túnel. Si tienes más de un intervalo de red entre iguales, introduce cada uno. Pulsa la tecla Tabulador entre las entradas. Para permitir el tráfico de todas las direcciones IPv6 de origen de tu red de pares, especifica ::/0.
- Protocolos o puertos especificados: selecciona tcp y udp.
- Otros protocolos: introduce 58. 58 es el número de protocolo de ICMPv6.
- Etiquetas de segmentación: añade las etiquetas válidas que quieras.
Haz clic en Crear.

Crea otras reglas de cortafuegos si es necesario.

También puedes crear reglas desde la página Firewall de la consola Google Cloud .

gcloud

Ejecuta el siguiente comando:

gcloud  compute --project PROJECT_ID firewall-rules create allow-tcp-udp-icmp \
    --network NETWORK \
    --allow tcp,udp,icmp \
    --source-ranges IPV4_PEER_SOURCE_RANGE

Sustituye IPV4_PEER_SOURCE_RANGE por los intervalos IPv4 de origen de tu red de pares.

Si tienes más de un intervalo de red entre iguales, proporciona una lista separada por comas en el campo source-ranges (--source-ranges 192.168.1.0/24,192.168.2.0/24).

Para permitir el tráfico de todas las direcciones IPv4 de origen de tu red de pares, especifica 0.0.0.0/0.

Reglas de cortafuegos IPv6

Si necesitas permitir el acceso a direcciones IPv6 en tu red de VPC desde tu red de emparejamiento, añade una allow-ipv6-tcp-udp-icmpv6 regla de cortafuegos.

gcloud  compute --project PROJECT_ID firewall-rules create allow-ipv6-tcp-udp-icmpv6 \
    --network NETWORK \
    --allow tcp,udp,58 \
    --source-ranges IPV6_PEER_SOURCE_RANGE

58 es el número de protocolo de ICMPv6.

Sustituye PEER_SOURCE_RANGE por los intervalos IPv6 de origen de tu red de pares. Si tienes más de un intervalo de red entre iguales, proporciona una lista separada por comas en el campo source-ranges (--source-ranges 2001:db8:aa::/64,2001:db8:bb::/64).

Para permitir el tráfico de todas las direcciones IPv6 de origen de tu red de pares, especifica ::/0.

Otras reglas de cortafuegos

Crea otras reglas de cortafuegos si es necesario.

Para obtener más información sobre el comando firewall-rules, consulta la documentación sobre las gcloudreglas de cortafuegos.

Reglas de cortafuegos entre iguales

Cuando configure las reglas de cortafuegos de los peers, tenga en cuenta lo siguiente:

Configura reglas para permitir el tráfico de salida y de entrada hacia y desde los intervalos de IP que usan las subredes de tu red de VPC.
Puedes permitir todos los protocolos y puertos, o bien restringir el tráfico a los protocolos y puertos necesarios para satisfacer tus necesidades.
Permite el tráfico ICMP si necesitas usar ping para poder comunicarte entre sistemas y recursos o instancias del mismo nivel en Google Cloud.
Si necesitas acceder a direcciones IPv6 en tu red peer-to-peer con ping, permite ICMPv6 (protocolo IP 58) en tu cortafuegos peer-to-peer.
Tanto los dispositivos de tu red (dispositivos de seguridad, cortafuegos, conmutadores, routers y pasarelas) como el software que se ejecuta en tus sistemas (como el software de cortafuegos incluido en un sistema operativo) pueden implementar reglas de cortafuegos locales. Para permitir el tráfico, configura correctamente todas las reglas de cortafuegos de la ruta a tu red de VPC.
Si tu túnel VPN usa el enrutamiento dinámico (BGP), asegúrate de permitir el tráfico BGP para las direcciones IP locales con enlace. Para obtener más información, consulta la siguiente sección.

Consideraciones sobre BGP para las pasarelas de peer

El enrutamiento dinámico (BGP) intercambia información de rutas mediante el puerto TCP 179. Algunas pasarelas de VPN, incluidas las de Cloud VPN, permiten este tráfico automáticamente cuando eliges el enrutamiento dinámico. Si no es así, configúrala para que permita el tráfico entrante y saliente en el puerto TCP 179. Todas las direcciones IP de BGP usan el bloque CIDR 169.254.0.0/16 local con enlace.

Si tu gateway de VPN de otro proveedor no está conectado directamente a Internet, asegúrate de que tanto este como los routers, las reglas de cortafuegos y los dispositivos de seguridad del otro proveedor estén configurados para permitir al menos el tráfico de BGP (puerto TCP 179) y el tráfico de ICMP a tu gateway de VPN. No es obligatorio, pero es útil para probar la conectividad entre un Cloud Router y tu pasarela de VPN. El intervalo de direcciones IP al que se debe aplicar la regla de cortafuegos de tu par debe incluir las direcciones IP de BGP de Cloud Router y de tu pasarela.

Siguientes pasos

Para asegurarte de que los componentes se comunican correctamente con Cloud VPN, consulta Comprobar el estado de la VPN.
Para usar escenarios de alta disponibilidad y alto rendimiento o escenarios de varias subredes, consulta las configuraciones avanzadas.
Para ayudarte a resolver los problemas habituales que pueden surgir al usar Cloud VPN, consulta la sección Solución de problemas.