Configurer les règles de pare-feu

Cette page indique comment configurer les règles de pare-feu Google Cloud, ainsi que les règles de pare-feu de votre réseau de pairs.

Lorsque vous configurez des tunnels Cloud VPN pour vous connecter à votre réseau de pairs, examinez et modifiez les règles de pare-feu de vos réseaux Google Cloud et de pairs afin de vous assurer qu'elles répondent à vos besoins. Si votre réseau de pairs est un autre réseau cloud privé virtuel (VPC), configurez des règles de pare-feu Google Cloud des deux côtés de la connexion réseau.

Pour en savoir plus sur Cloud VPN, consultez les ressources suivantes :

Règles de pare-feu Google Cloud

Les règles de pare-feu Google Cloud s'appliquent aux paquets envoyés vers et depuis des instances de machine virtuelle (VM) sur votre réseau VPC et à travers des tunnels Cloud VPN.

La règle implicite d'autorisation du trafic sortant permet aux instances de VM et aux autres ressources de votre réseau Google Cloud d'effectuer des requêtes sortantes et de recevoir des réponses établies. En revanche, la règle implicite de refus du trafic entrant bloque tout le trafic entrant à destination de vos ressources Google Cloud.

Au minimum, créez des règles de pare-feu pour autoriser le trafic entrant provenant de votre réseau de pairs vers Google Cloud. Si vous avez créé des règles de trafic sortant pour refuser certains types de trafic, vous devrez peut-être créer d'autres règles de trafic sortant.

Le trafic contenant les protocoles UDP 500, UDP 4500 et ESP (IPSec, protocole IP 50) est toujours autorisé depuis et vers une ou plusieurs adresses IP externes sur une passerelle Cloud VPN. Cependant, les règles de pare-feu Google Cloud ne s'appliquent pas aux paquets IPSec post-encapsulés qui sont envoyés depuis une passerelle Cloud VPN vers une passerelle VPN de pairs.

Pour en savoir plus sur les règles de pare-feu Google Cloud, consultez la page Présentation des règles de pare-feu VPC.

Exemples de configurations

Pour obtenir des exemples de restriction du trafic entrant ou sortant, consultez les exemples de configuration dans la documentation VPC.

L'exemple suivant crée une règle de pare-feu entrée autorisée. Cette règle autorise tout le trafic TCP, UDP et ICMP provenant du CIDR de votre réseau pair vers les machines virtuelles de votre réseau VPC.

Console

  1. Dans Google Cloud Console, accédez à la page Tunnels VPN.

    Accéder à la page "Tunnels VPN"

  2. Cliquez sur le tunnel VPN que vous souhaitez utiliser.

  3. Dans la section Passerelle VPN, cliquez sur le nom du réseau VPC. Vous êtes dirigé vers la page Informations détaillées sur le réseau VPC contenant le tunnel.

  4. Cliquez sur l'onglet Règles de pare-feu.

  5. Cliquez sur Ajouter une règle de pare-feu. Ajoutez une règle pour TCP, UDP et ICMP.

    • Nom : saisissez allow-tcp-udp-icmp.
    • Filtre source : sélectionnez Plages d'adresses IP.
    • Plages d'adresses IP sources : saisissez la valeur de la plage d'adresses IP du réseau distant définie lors de la création du tunnel. Si vous disposez de plusieurs plages pour le réseau de pairs, saisissez chacune d'entre elles. Appuyez sur la touche Tabulation entre les entrées.
    • Protocoles ou ports autorisés : saisissez tcp; udp; icmp.
    • Tags cibles : un ou plusieurs tags valides.
  6. Cliquez sur Create (Créer).

  7. Créez d'autres règles de pare-feu si nécessaire.

Vous pouvez également créer des règles depuis la page Pare-feu de Cloud Console.

  1. Accéder à la page Pare-feu.

    Accéder à la page "Pare-feu"

  2. Cliquez sur Créer une règle de pare-feu.

  3. Renseignez les champs suivants en saisissant ces valeurs :

    • Nom : vpnrule1
    • Réseau VPC : my-network
    • Filtre source : IP ranges
    • Plages d'adresses IP sources : plages d'adresses IP du réseau de pairs à accepter en provenance de la passerelle VPN de pairs.
    • Protocoles et ports autorisés : tcp;udp;icmp
  4. Cliquez sur Créer.

gcloud

Exécutez la commande suivante :

gcloud  compute --project PROJECT_ID firewall-rules create vpnrule1 \
    --network NETWORK \
    --allow tcp,udp,icmp \
    --source-ranges PEER_SOURCE_RANGE

Si vous disposez de plusieurs plages d'adresses pour votre réseau pair, introduisez une liste dans le champ de plages sources, en séparant les éléments par des virgules (--source-ranges 192.168.1.0/24,192.168.2.0/24).

Pour plus d'informations sur la commande firewall-rules, consultez la documentation sur les règles de pare-feu gcloud.

Règles de pare-feu de pairs

Lors de la configuration de vos règles de pare-feu de pairs, tenez compte des points ci-dessous :

  • Vous devez configurer des règles pour autoriser le trafic sortant et entrant vers et depuis les plages d'adresses IP utilisées par les sous-réseaux de votre réseau VPC.
  • Vous pouvez choisir d'autoriser tous les protocoles et ports, ou bien de limiter le trafic à l'ensemble de protocoles et de ports requis pour répondre à vos besoins.
  • Autorisez le trafic ICMP si vous devez utiliser ping pour pouvoir communiquer entre les systèmes de pairs et les instances ou les ressources de Google Cloud.
  • Vos appareils réseau (appareils de sécurité, pare-feu, commutateurs, routeurs et passerelles) et les logiciels s'exécutant sur vos systèmes (tels qu'un logiciel de pare-feu inclus dans un système d'exploitation) peuvent implémenter des règles de pare-feu sur site. Pour autoriser le trafic, configurez correctement toutes les règles de pare-feu dans le chemin d'accès à votre réseau VPC.
  • Si votre tunnel VPN utilise le routage dynamique (BGP), veillez à autoriser le trafic BGP pour les adresses IP de liaison locale. Pour en savoir plus, consultez la section suivante.

Considérations relatives à BGP pour les passerelles de pairs

Dans le cas du routage dynamique (BGP), des informations de routage sont échangées via le port TCP 179. Certaines passerelles VPN, y compris les passerelles Cloud VPN, autorisent automatiquement ce trafic lorsque vous choisissez le routage dynamique. Si ce n'est pas le cas de votre passerelle VPN de pairs, vous devez la configurer de sorte à autoriser le trafic entrant et sortant sur le port TCP 179. Toutes les adresses IP BGP utilisent le bloc CIDR 169.254.0.0/16 de liaison locale.

Si votre passerelle VPN de pairs n'est pas directement connectée à Internet, assurez-vous que celle-ci, ainsi que les routeurs pairs, les règles de pare-feu et les systèmes de sécurité sont configurés pour transmettre au moins le trafic BGP (port TCP 179) et le trafic ICMP à votre passerelle VPN. Le trafic ICMP n'est pas indispensable, mais s'avère utile pour tester la connectivité entre un routeur Cloud Router et votre passerelle VPN. La plage d'adresses IP à laquelle votre règle de pare-feu de pairs doit s'appliquer doit inclure les adresses IP BGP du routeur Cloud Router et de votre passerelle.

Étape suivante

  • Pour trouver des ressources sur la maintenance des tunnels et des passerelles VPN, consultez les guides de maintenance des VPN.
  • Pour utiliser des scénarios de haute disponibilité et à haut débit, ou plusieurs scénarios de sous-réseau, consultez la section Configurations avancées.
  • Pour vous aider à résoudre les problèmes courants que vous pouvez rencontrer lors de l'utilisation de Cloud VPN, consultez la page Dépannage.