Configura las reglas de firewall

En esta página, se proporcionan instrucciones para configurar las reglas de firewall de Google Cloud y las reglas de firewall de la red de intercambio de tráfico.

Cuando configuras túneles de Cloud VPN para que se conecten a tu red de intercambio de tráfico, debes revisar y modificar las reglas de firewall en Google Cloud y en las redes de intercambio de tráfico para asegurarte de que satisfagan tus necesidades. Si la red de intercambio de tráfico es otra red de nube privada virtual (VPC), configura las reglas de firewall de Google Cloud para ambos lados de la conexión de red.

Reglas de firewall de Google Cloud

Las reglas de firewall de Google Cloud se aplican a los paquetes enviados hacia y desde las instancias de máquina virtual (VM) en la red de VPC y a través de túneles de Cloud VPN.

La regla implícita de permiso de salida permite que las instancias de VM y otros recursos de la red de Google Cloud realicen solicitudes salientes y reciban respuestas establecidas, pero la regla implícita de denegación de entrada bloquea todo el tráfico entrante a los recursos de Google Cloud.

Como mínimo, debes crear reglas de firewall para permitir el ingreso de tráfico de la red de intercambio de tráfico a Google Cloud. Es posible que también debas crear reglas de salida si creaste otras reglas de salida para denegar ciertos tipos de tráfico.

El tráfico que contiene los protocolos UDP 500, UDP 4500 y ESP (IPSec, protocolo IP 50) siempre se permite desde y hacia una o más direcciones IP externas en una puerta de enlace de Cloud VPN. Sin embargo, las reglas de firewall de Google Cloud no se aplican a los paquetes IPSec encapsulados de forma posterior que se envían desde una puerta de enlace de Cloud VPN hacia una puerta de enlace de VPN de intercambio de tráfico.

Para obtener más información sobre las reglas de firewall de Google Cloud, consulta la Descripción general de las reglas de firewall.

Configuración de ejemplo

Para ver varios ejemplos de restricción de tráfico de entrada o salida, consulta los ejemplos de configuración de firewall en la documentación de VPC.

En el siguiente ejemplo, se crea una regla de firewall de permiso de entrada. Esta regla permite todo el tráfico de TCP, ICMP y UDP del CIDR de la red de intercambio de tráfico que ingresa a las VM en la red de VPC.

Console

  1. Ve a la página Túneles VPN en Google Cloud Console.
    Ir a la página Túneles VPN
  2. Haz clic en el túnel VPN que deseas usar.
  3. En la sección de la puerta de enlace VPN, haz clic en el nombre de la Red de VPC. Esto te dirige a la página de detalles de la Red de VPC que contiene el túnel.
  4. Selecciona la pestaña Reglas de firewall.
  5. Haz clic en Agregar regla de firewall. Agrega una regla para TCP, ICMP y UDP:
    • Nombre: allow-tcp-udp-icmp
    • Filtro de origen: rangos de IP
    • Rangos de IP de origen: valor del rango de IP de red remota correspondiente al momento en que creaste el túnel. Si tienes más de un rango de red de intercambio de tráfico, ingresa cada uno. Presiona la tecla Tab entre las entradas
    • Protocolos o puertos permitidos: tcp; udp; icmp.
    • Etiquetas de destino: Cualquier etiqueta o etiquetas válidas.
  6. Haz clic en Crear.
  7. Crea otras reglas de firewall si es necesario.

También puedes crear reglas desde la página Reglas de firewall en Google Cloud Console.

  1. Ve a la página Reglas de firewall.
  2. Haz clic en Crear regla de firewall.
  3. Completa los siguientes campos:
    • Nombre: vpnrule1
    • Red de VPC: my-network.
    • Filtro de origen: IP ranges
    • Rangos de IP de origen: Los rangos de direcciones IP de la red de intercambio de tráfico que se aceptarán desde la puerta de enlace de VPN de intercambio de tráfico
    • Puertos y protocolos permitidos: tcp;udp;icmp
  4. Haz clic en Crear.

gcloud

  gcloud  compute --project PROJECT_ID firewall-rules create vpnrule1 \
    --network NETWORK \
    --allow tcp,udp,icmp \
    --source-ranges PEER_SOURCE_RANGE

Si tienes más de un rango de redes de intercambio de tráfico, proporciona una lista separada por comas en el campo de rangos de origen (--source-ranges 192.168.1.0/24,192.168.2.0/24).

Consulta la documentación de reglas de firewall de gcloud para obtener más información sobre el comando firewall-rules.

Reglas de firewall de intercambio de tráfico

Cuando configures las reglas de firewall de intercambio de tráfico, ten en cuenta lo siguiente:

  • Debes configurar las reglas para permitir el tráfico de entrada y salida desde y hacia los rangos de IP que usan las subredes en tu red de VPC.
  • Puedes elegir permitir todos los protocolos y puertos o puedes restringir el tráfico a solo el conjunto necesario de protocolos y puertos para satisfacer tus necesidades.
  • Debes permitir el tráfico de ICMP si quieres comunicarte entre sistemas de intercambio de tráfico, instancias o recursos en Google Cloud mediante ping.
  • Recuerda que a las reglas de firewall locales pueden implementarlas los dispositivos de red (por ejemplo, dispositivos de seguridad, dispositivos de firewall, interruptores, routers y puertas de enlace) y el software que se ejecuta en tus sistemas (como el software de firewall incluido con un sistema operativo). Todos los firewalls en la ruta de acceso a tu red de VPC deben configurarse de forma correcta para permitir el tráfico.
  • Si el túnel VPN usa el enrutamiento dinámico (BGP), asegúrate de permitir el tráfico de BGP para las direcciones IP de vínculo local. Consulta la siguiente sección para obtener más detalles.

Consideraciones de BGP para puertas de enlace de intercambio de tráfico

Con el enrutamiento dinámico (BGP), se intercambia información de ruta mediante el puerto TCP 179. Algunas puertas de enlace de VPN, incluidas las puertas de enlace de Cloud VPN, permiten este tráfico de forma automática cuando eliges el enrutamiento dinámico. Si la puerta de enlace de VPN de intercambio de tráfico no lo permite, debes configurarla para que permita el tráfico entrante y saliente en el puerto TCP 179. Todas las direcciones IP de BGP usan el bloque CIDR 169.254.0.0/16 de vínculo local.

Si la puerta de enlace de VPN de intercambio de tráfico no está conectada directamente a Internet, asegúrate de que esta puerta de enlace, los routers de intercambio de tráfico, los firewalls y los dispositivos de seguridad estén configurados para al menos pasar tráfico de BGP (puerto TCP 179) e ICMP a la puerta de enlace de VPN. ICMP no es obligatorio, pero es útil para probar la conectividad entre un Cloud Router y tu puerta de enlace de VPN. El rango de direcciones IP a las que debe aplicarse la regla de firewall de intercambio de tráfico debe incluir la dirección IP de BGP del Cloud Router y la dirección IP de BGP de la puerta de enlace.

Próximos pasos