Mengonfigurasi aturan firewall

Halaman ini berisi panduan mengonfigurasi aturan firewall Google Cloud dan aturan firewall jaringan peer Anda.

Jika Anda mengonfigurasi tunnel Cloud VPN untuk terhubung ke jaringan peer, tinjau dan ubah aturan firewall di Google Cloud dan jaringan peer sehingga aturan tersebut memenuhi kebutuhan Anda. Jika jaringan peer Anda adalah jaringan Virtual Private Cloud (VPC) lain, konfigurasikan aturan firewall Google Cloud di kedua sisi koneksi jaringan.

Untuk mengetahui informasi selengkapnya tentang Cloud VPN, lihat referensi berikut:

Untuk praktik terbaik yang perlu dipertimbangkan sebelum menyiapkan Cloud VPN, lihat Praktik terbaik.
Untuk mengetahui informasi selengkapnya tentang Cloud VPN, lihat ringkasan Cloud VPN.
Untuk mengetahui definisi istilah-istilah yang digunakan di halaman ini, lihat Istilah utama.

Aturan firewall Google Cloud

Aturan firewall Google Cloud berlaku untuk paket yang dikirim ke dan dari instance mesin virtual (VM) dalam jaringan VPC Anda dan melalui tunnel Cloud VPN.

Aturan izinkan traffic keluar yang tersirat memungkinkan instance VM dan resource lain di jaringan Google Cloud Anda membuat permintaan keluar dan menerima respons yang ditetapkan. Namun, aturan tolak traffic masuk yang tersirat memblokir seluruh traffic yang masuk ke resource Google Cloud.

Setidaknya buat aturan firewall untuk mengizinkan traffic masuk dari jaringan peer Anda ke Google Cloud. Jika Anda membuat aturan traffic keluar untuk menolak jenis traffic tertentu, Anda mungkin perlu membuat aturan traffic keluar lainnya.

Traffic yang berisi protokol UDP 500, UDP 4500, dan ESP (IPsec, IP protocol 50) selalu diizinkan ke dan dari satu atau beberapa alamat IP eksternal di gateway Cloud VPN. Namun, aturan firewall Google Cloud tidak berlaku pada paket IPsec setelah enkapsulasi yang dikirim dari gateway Cloud VPN ke gateway VPN peer.

Untuk mengetahui informasi selengkapnya tentang aturan firewall Google Cloud, lihat Ringkasan aturan firewall VPC.

Contoh konfigurasi

Untuk beberapa contoh pembatasan traffic masuk atau keluar, lihat contoh konfigurasi di dokumentasi VPC.

Contoh berikut membuat aturan firewall izinkan traffic masuk. Aturan ini mengizinkan semua traffic TCP, UDP, dan ICMP dari CIDR jaringan peer ke VMs di jaringan VPC Anda.

Izin yang diperlukan untuk langkah ini

Untuk melakukan langkah ini, Anda harus mendapatkan izin atau peran IAM berikut.

Peran

roles/compute.securityAdmin

Konsol

Di konsol Google Cloud, buka halaman tunnel VPN.

Buka tunnel VPN
Klik tunnel VPN yang ingin Anda gunakan.
Di bagian gateway VPN, klik nama jaringan VPC. Tindakan ini mengarahkan Anda ke halaman detail jaringan VPC yang berisi tunnel.
Klik tab Aturan firewall.
Klik Tambahkan aturan firewall. Tambahkan aturan untuk TCP, UDP, dan ICMP:
- Nama: Masukkan allow-tcp-udp-icmp.
- Filter sumber: Pilih Rentang IPv4 .
- Rentang IP sumber: Masukkan nilai Rentang IP jaringan jarak jauh saat Anda membuat tunnel. Jika memiliki lebih dari satu rentang jaringan peer, masukkan satu persatu. Tekan tombol Tab antara entri. Untuk mengizinkan traffic dari semua alamat IPv4 sumber di jaringan peer Anda, tentukan 0.0.0.0/0.
- Protokol atau port yang ditentukan: Pilih tcp dan udp.
- Protokol lainnya: Masukkan icmp.
- Target tags: Tambahkan satu atau beberapa tag yang valid.
Klik Create.

Jika Anda perlu mengizinkan jaringan peer untuk mengakses alamat IPv6 di jaringan VPC Anda, tambahkan aturan firewall allow-ipv6-tcp-udp-icmpv6.

Klik Tambahkan aturan firewall. Tambahkan aturan untuk TCP, UDP, dan ICMPv6:
- Nama: Masukkan allow-ipv6-tcp-udp-icmpv6.
- Filter sumber: Pilih Rentang IPv6.
- Rentang IP sumber: Masukkan nilai Rentang IP jaringan jarak jauh saat Anda membuat tunnel. Jika memiliki lebih dari satu rentang jaringan peer, masukkan satu persatu. Tekan tombol Tab antara entri. Untuk mengizinkan traffic dari semua alamat IPv6 sumber di jaringan peer Anda, tentukan ::/0.
- Protokol atau port yang ditentukan: Pilih tcp dan udp.
- Protokol lain: Masukkan 58. 58 adalah nomor protokol untuk ICMPv6.
- Target tags: Tambahkan satu atau beberapa tag yang valid.
Klik Create.

Buat aturan firewall lain jika diperlukan.

Anda juga dapat membuat aturan di halaman Firewall konsol Google Cloud.

gcloud

Jalankan perintah berikut:

gcloud  compute --project PROJECT_ID firewall-rules create allow-tcp-udp-icmp \
    --network NETWORK \
    --allow tcp,udp,icmp \
    --source-ranges IPV4_PEER_SOURCE_RANGE

Ganti IPV4_PEER_SOURCE_RANGE dengan rentang IPv4 sumber dari jaringan peer Anda.

Jika Anda memiliki rentang jaringan peer lebih dari satu, berikan daftar yang dipisahkan koma di bidang rentang sumber (--source-ranges 192.168.1.0/24,192.168.2.0/24).

Untuk mengizinkan traffic dari semua alamat IPv4 sumber di jaringan peer Anda, tentukan 0.0.0.0/0.

Aturan firewall IPv6

Jika Anda perlu mengizinkan jaringan peer untuk mengakses alamat IPv6 di jaringan VPC Anda, tambahkan aturan firewall allow-ipv6-tcp-udp-icmpv6.

gcloud  compute --project PROJECT_ID firewall-rules create allow-ipv6-tcp-udp-icmpv6 \
    --network NETWORK \
    --allow tcp,udp,58 \
    --source-ranges IPV6_PEER_SOURCE_RANGE

58 adalah nomor protokol untuk ICMPv6.

Ganti PEER_SOURCE_RANGE dengan rentang IPv6 sumber dari jaringan peer Anda. Jika Anda memiliki lebih dari satu rentang jaringan peer, berikan daftar yang dipisahkan koma di kolom rentang sumber (--source-ranges 2001:db8:aa::/64,2001:db8:bb::/64).

Untuk mengizinkan traffic dari semua alamat IPv6 sumber di jaringan peer Anda, tentukan ::/0.

Aturan firewall lainnya

Buat aturan firewall lain jika diperlukan.

Untuk mengetahui informasi selengkapnya tentang perintah firewall-rules, lihat dokumentasi gcloud aturan firewall .

Aturan firewall peer

Saat mengonfigurasi aturan firewall peer, pertimbangkan hal berikut:

Konfigurasikan aturan untuk mengizinkan traffic keluar dan masuk ke dan dari rentang IP yang digunakan oleh subnet di jaringan VPC Anda.
Anda dapat memilih untuk mengizinkan semua protokol dan port, atau membatasi traffic hanya ke rangkaian protokol dan port yang diperlukan untuk memenuhi kebutuhan Anda.
Izinkan traffic ICMP jika Anda perlu menggunakan ping agar dapat berkomunikasi antar sistem peer dan instance atau resource di Google Cloud.
Jika Anda perlu mengakses alamat IPv6 di jaringan peer dengan ping, izinkan ICMPv6 (58 protokol IP) di firewall peer.
Perangkat jaringan (peralatan keamanan, perangkat firewall, switch, router, dan gateway) dan software yang berjalan di sistem Anda (seperti software firewall yang disertakan dengan sistem operasi) dapat mengimplementasikan aturan firewall lokal. Konfigurasi semua aturan firewall secara tepat di jalur jaringan VPC Anda.
Jika tunnel VPN menggunakan perutean dinamis (BGP), pastikan traffic BGP diizinkan untuk alamat IP link-local. Untuk detail selengkapnya, lihat bagian berikutnya.

Pertimbangan BGP untuk gateway peer

Perutean dinamis (BGP) menggunakan TCP port 179 untuk bertukar informasi rute. Beberapa gateway VPN, termasuk gateway Cloud VPN, secara otomatis mengizinkan traffic saat Anda memilih perutean dinamis. Jika gateway VPN peer tidak mendukung, konfigurasikan gateway untuk mengizinkan traffic masuk dan keluar di TCP port 179. Semua alamat IP BGP menggunakan blok CIDR 169.254.0.0/16 link-local.

Jika gateway VPN peer Anda tidak terhubung langsung ke internet, pastikan gateway dan router peer, aturan firewall, dan peralatan keamanan dikonfigurasi untuk meneruskan traffic BGP (port TCP 179) dan traffic ICMP ke gateway VPN. ICMP tidak diwajibkan, tetapi berguna untuk menguji konektivitas Cloud Router dan gateway VPN Anda. Rentang alamat IP yang diterapkan aturan firewall peer harus menyertakan alamat IP BGP Cloud Router dan gateway Anda.

Langkah selanjutnya

Untuk memastikan komponen berkomunikasi dengan benar menggunakan Cloud VPN, lihat Memeriksa status VPN.
Untuk menggunakan skenario ketersediaan tinggi dan throughput tinggi atau beberapa skenario subnet, lihat Konfigurasi lanjutan.
Untuk membantu memecahkan masalah umum yang mungkin Anda alami saat menggunakan Cloud VPN, lihat Pemecahan masalah.