Configura las reglas de firewall

En esta página, se proporcionan instrucciones para configurar las reglas de firewall de Google Cloud y las reglas de firewall de la red de intercambio de tráfico.

Cuando configures túneles de Cloud VPN para que se conecten a tu red de intercambio de tráfico, revisa y modifica las reglas de firewall en Google Cloud y en las redes de intercambio de tráfico para asegurarte de que satisfagan tus necesidades. Si la red de intercambio de tráfico es otra red de nube privada virtual (VPC), configura las reglas de firewall de Google Cloud para ambos lados de la conexión de red.

Para obtener más información sobre Cloud VPN, consulta los siguientes recursos:

Reglas de firewall de Google Cloud

Las reglas de firewall de Google Cloud se aplican a los paquetes enviados hacia y desde las instancias de máquina virtual (VM) en la red de VPC y a través de túneles de Cloud VPN.

La regla implícita de permiso de salida permite que las instancias de VM y otros recursos de tu red de Google Cloud realicen solicitudes salientes y reciban respuestas establecidas. Sin embargo, la regla implícita de denegación de entrada bloquea todo el tráfico entrante a tus recursos de Google Cloud.

Como mínimo, crea reglas de firewall para permitir el tráfico de entrada de tu red de intercambio de tráfico a Google Cloud. Si creaste reglas de salida para denegar ciertos tipos de tráfico, es posible que también debas crear otras reglas de salida.

El tráfico que contiene los protocolos UDP 500, UDP 4500 y ESP (IPSec, protocolo IP 50) siempre se permite desde y hacia una o más direcciones IP externas en una puerta de enlace de Cloud VPN. Sin embargo, las reglas de firewall de Google Cloud no se aplican a los paquetes IPSec encapsulados de forma posterior que se envían desde una puerta de enlace de Cloud VPN hacia una puerta de enlace de VPN de intercambio de tráfico.

Para obtener más información sobre las reglas de firewall de Google Cloud, consulta la descripción general de las reglas de firewall de VPC.

Configuración de ejemplo

Para ver varios ejemplos de restricción de tráfico de entrada o salida, consulta los ejemplos de configuración en la documentación de VPC.

En el siguiente ejemplo, se crea una regla de firewall de permiso de entrada. Esta regla permite todo el tráfico de TCP, ICMP y UDP del CIDR de la red de intercambio de tráfico que ingresa a las VM en la red de VPC.

Console

  1. En Google Cloud Console, ve a la página Túneles VPN.

    Ir a túneles VPN

  2. Haz clic en el túnel VPN que deseas usar.

  3. En la sección de la puerta de enlace VPN, haz clic en el nombre de la Red de VPC. Esto te dirige a la página de detalles de la Red de VPC que contiene el túnel.

  4. Haz clic en la pestaña Reglas de firewall.

  5. Haz clic en Agregar regla de firewall. Agrega una regla para TCP, ICMP y UDP:

    • Nombre: Ingresa allow-tcp-udp-icmp.
    • Filtro de fuente: Selecciona Rangos de IP.
    • Rangos de IP de origen: Ingresa un valor de Rango de IP de red remota desde el momento en que creaste el túnel. Si tienes más de un rango de red de intercambio de tráfico, ingresa cada uno. Presiona la tecla Tab entre las entradas.
    • Protocolos o puertos permitidos: ingresa tcp; udp; icmp.
    • Etiquetas de destino: Cualquier etiqueta o etiquetas válidas.
  6. Haz clic en Crear.

  7. Crea otras reglas de firewall si es necesario.

De forma alternativa, puedes crear reglas desde la página Firewall de Cloud Console.

  1. Ir a la página Firewall.

    Ir a Firewall

  2. Haz clic en Crear regla de firewall.

  3. Ingresa los siguientes valores para propagar los siguientes campos:

    • Nombre: vpnrule1.
    • Red de VPC: my-network.
    • Filtro de fuente: IP ranges
    • Rangos de IP de origen: Los rangos de direcciones IP de la red de intercambio de tráfico que se aceptarán desde la puerta de enlace de VPN de intercambio de tráfico
    • Puertos y protocolos permitidos: tcp;udp;icmp.
  4. Haz clic en Crear.

gcloud

Ejecuta el siguiente comando:

gcloud  compute --project PROJECT_ID firewall-rules create vpnrule1 \
    --network NETWORK \
    --allow tcp,udp,icmp \
    --source-ranges PEER_SOURCE_RANGE

Si tienes más de un rango de redes de intercambio de tráfico, proporciona una lista separada por comas en el campo de rangos de origen (--source-ranges 192.168.1.0/24,192.168.2.0/24).

Si deseas obtener más información sobre el comando firewall-rules, consulta la documentación de reglas de firewall de gcloud.

Reglas de firewall de intercambio de tráfico

Cuando configures las reglas de firewall de intercambio de tráfico, ten en cuenta lo siguiente:

  • Configura las reglas para permitir el tráfico de entrada y salida desde y hacia los rangos de IP que usan las subredes en tu red de VPC.
  • Puedes elegir permitir todos los protocolos y puertos o puedes restringir el tráfico a solo el conjunto necesario de protocolos y puertos para satisfacer tus necesidades.
  • Permite el tráfico ICMP si necesitas usar ping para establecer comunicaciones entre los sistemas de intercambio de tráfico y las instancias o los recursos en Google Cloud.
  • Los dispositivos de red (dispositivos de seguridad, dispositivos de firewall, interruptores, routers y puertas de enlace) y el software que se ejecuta en tus sistemas (como el software de firewall incluido en un sistema operativo) puede implementar reglas de firewall locales. Para permitir el tráfico, configura todas las reglas de firewall en la ruta a tu red de VPC de forma adecuada.
  • Si tu túnel VPN usa enrutamiento dinámico (BGP), asegúrate de permitir el tráfico BGP para las direcciones IP de vínculo local. Para obtener más detalles, consulta la siguiente sección.

Consideraciones de BGP para puertas de enlace de intercambio de tráfico

Con el enrutamiento dinámico (BGP), se intercambia información de ruta mediante el puerto TCP 179. Algunas puertas de enlace de VPN, incluidas las puertas de enlace de Cloud VPN, permiten este tráfico de forma automática cuando eliges el enrutamiento dinámico. Si la puerta de enlace de VPN de intercambio de tráfico no lo permite, configúrala para que permita el tráfico entrante y saliente en el puerto TCP 179. Todas las direcciones IP de BGP usan el bloque CIDR 169.254.0.0/16 de vínculo local.

Si la puerta de enlace de VPN de intercambio de tráfico no está conectada directamente a Internet, asegúrate de que esta puerta de enlace, los routers de intercambio de tráfico, los firewalls y los dispositivos de seguridad estén configurados para al menos pasar tráfico de BGP (puerto TCP 179) e ICMP a la puerta de enlace de VPN. ICMP no es obligatorio, pero es útil para probar la conectividad entre un Cloud Router y tu puerta de enlace de VPN. El rango de direcciones IP a las que debe aplicarse la regla de firewall de intercambio de tráfico debe incluir las direcciones IP de BGP del Cloud Router y la puerta de enlace.

¿Qué sigue?

  • Para asegurarte de que los componentes se comuniquen de forma correcta con Cloud VPN, consulta Verifica el estado de la VPN.
  • Para usar situaciones de alta disponibilidad y alta capacidad de procesamiento o situaciones de varias subredes, consulta Configuración avanzada.
  • Para ayudarte a resolver problemas comunes que podrías encontrar cuando uses Cloud Interconnect, consulta Solución de problemas.