Configura le regole firewall

Questa pagina fornisce indicazioni per la configurazione delle regole firewall di Google Cloud e delle regole firewall di rete peer.

Quando configuri i tunnel Cloud VPN per la connessione alla tua rete peer, esamina e modifica le regole firewall nella tua rete Google Cloud e nelle tue reti peer per assicurarti che soddisfino le tue esigenze. Se la tua rete peer è un'altra rete Virtual Private Cloud (VPC), configura le regole firewall di Google Cloud per entrambi i lati della connessione di rete.

Per saperne di più su Cloud VPN, consulta le seguenti risorse:

Per le best practice da considerare prima di configurare Cloud VPN, consulta le best practice.
Per ulteriori informazioni su Cloud VPN, consulta la panoramica di Cloud VPN.
Per le definizioni dei termini utilizzati in questa pagina, consulta la sezione Termini chiave.

Regole firewall di Google Cloud

Le regole firewall di Google Cloud si applicano ai pacchetti inviati da e verso le istanze di macchine virtuali (VM) all'interno della tua rete VPC e attraverso i tunnel Cloud VPN.

Le regole di consenti traffico in uscita implicito consentono alle istanze VM e ad altre risorse nella rete Google Cloud di effettuare richieste in uscita e ricevere risposte stabilite. Tuttavia, la regola implicita di negazione del traffico in entrata blocca tutto il traffico in entrata verso le tue risorse Google Cloud.

Come minimo, crea regole firewall per consentire il traffico in entrata dalla rete peer a Google Cloud. Se hai creato regole in uscita per negare determinati tipi di traffico, potrebbe essere necessario creare anche altre regole in uscita.

Il traffico contenente i protocolli UDP 500, UDP 4500 ed ESP (IPsec, IP Protocol 50) è sempre consentito da e verso uno o più indirizzi IP esterni su un gateway Cloud VPN. Tuttavia, le regole firewall di Google Cloud non si applicano ai pacchetti IPsec post-incapsulati che vengono inviati da un gateway Cloud VPN a un gateway VPN peer.

Per ulteriori informazioni sulle regole firewall di Google Cloud, consulta la panoramica delle regole firewall VPC.

Configurazioni di esempio

Per diversi esempi di limitazione del traffico in entrata o in uscita, consulta gli esempi di configurazione nella documentazione di VPC.

Nell'esempio seguente viene creata una regola firewall di tipo Ingress allow. Questa regola consente tutto il traffico TCP, UDP e ICMP dal CIDR della rete peer alle VM nella rete VPC.

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o dei seguenti ruoli IAM.

Ruoli

roles/compute.securityAdmin

Console

Nella console Google Cloud, vai alla pagina Tunnel VPN.

Vai ai tunnel VPN
Fai clic sul tunnel VPN che vuoi utilizzare.
Nella sezione Gateway VPN, fai clic sul nome della rete VPC. Questa azione ti indirizza alla pagina Dettagli rete VPC che contiene il tunnel.
Fai clic sulla scheda Regole firewall.
Fai clic su Aggiungi regola firewall. Aggiungi una regola per TCP, UDP e ICMP:
- Nome: inserisci allow-tcp-udp-icmp.
- Filtro di origine:seleziona Intervalli IPv4.
- Intervalli IP di origine: inserisci un valore Intervallo IP della rete remota da quando hai creato il tunnel. Se disponi di più intervalli di reti peer, inserisci ciascuno di essi. Premi il tasto Tab tra le voci. Per consentire il traffico da tutti gli indirizzi IPv4 di origine nella rete peer, specifica 0.0.0.0/0.
- Protocolli o porte specificati: seleziona tcp e udp.
- Altri protocolli:inserisci icmp.
- Tag di destinazione:aggiungi qualsiasi tag o tag valido.
Fai clic su Crea.

Se devi consentire l'accesso agli indirizzi IPv6 sulla tua rete VPC dalla rete peer, aggiungi una regola firewall allow-ipv6-tcp-udp-icmpv6.

Fai clic su Aggiungi regola firewall. Aggiungi una regola per TCP, UDP e ICMPv6:
- Nome: inserisci allow-ipv6-tcp-udp-icmpv6.
- Filtro di origine:seleziona Intervalli IPv6.
- Intervalli IP di origine: inserisci un valore Intervallo IP della rete remota da quando hai creato il tunnel. Se disponi di più intervalli di reti peer, inserisci ciascuno di essi. Premi il tasto Tab tra le voci. Per consentire il traffico da tutti gli indirizzi IPv6 di origine nella rete peer, specifica ::/0.
- Protocolli o porte specificati: seleziona tcp e udp.
- Altri protocolli: inserisci 58. 58 è il numero di protocollo per ICMPv6.
- Tag di destinazione:aggiungi qualsiasi tag o tag valido.
Fai clic su Crea.

Crea altre regole firewall, se necessario.

In alternativa, puoi creare regole dalla pagina Firewall della console Google Cloud.

gcloud

Esegui questo comando:

gcloud  compute --project PROJECT_ID firewall-rules create allow-tcp-udp-icmp \
    --network NETWORK \
    --allow tcp,udp,icmp \
    --source-ranges IPV4_PEER_SOURCE_RANGE

Sostituisci IPV4_PEER_SOURCE_RANGE con gli intervalli IPv4 di origine della rete peer.

Se disponi di più intervalli di reti peer, fornisci un elenco separato da virgole nel campo degli intervalli di origine (--source-ranges 192.168.1.0/24,192.168.2.0/24).

Per consentire il traffico da tutti gli indirizzi IPv4 di origine nella rete peer, specifica 0.0.0.0/0.

Regole firewall IPv6

Se devi consentire l'accesso agli indirizzi IPv6 sulla tua rete VPC dalla rete peer, aggiungi una regola firewall allow-ipv6-tcp-udp-icmpv6.

gcloud  compute --project PROJECT_ID firewall-rules create allow-ipv6-tcp-udp-icmpv6 \
    --network NETWORK \
    --allow tcp,udp,58 \
    --source-ranges IPV6_PEER_SOURCE_RANGE

58 è il numero di protocollo per ICMPv6.

Sostituisci PEER_SOURCE_RANGE con gli intervalli IPv6 di origine della rete peer. Se disponi di più intervalli di reti peer, fornisci un elenco separato da virgole nel campo degli intervalli di origine (--source-ranges 2001:db8:aa::/64,2001:db8:bb::/64).

Per consentire il traffico da tutti gli indirizzi IPv6 di origine nella rete peer, specifica ::/0.

Altre regole firewall

Crea altre regole firewall, se necessario.

Per ulteriori informazioni sul comando firewall-rules, consulta la documentazione sulle regole firewall gcloud.

Regole firewall peer

Quando configuri le regole firewall peer, considera quanto segue:

Configura regole per consentire il traffico in entrata e in uscita da e verso gli intervalli IP utilizzati dalle subnet nella tua rete VPC.
Puoi scegliere di consentire tutti i protocolli e le porte oppure limitare il traffico solo all'insieme di protocolli e porte necessario per soddisfare le tue esigenze.
Consenti il traffico ICMP se devi utilizzare ping per poter comunicare tra sistemi peer e istanze o risorse in Google Cloud.
Se devi accedere agli indirizzi IPv6 sulla rete peer con ping, consenti ICMPv6 (protocollo IP 58) nel firewall peer.
Sia i dispositivi di rete (appliance di sicurezza, firewall, switch, router e gateway) sia il software in esecuzione sui sistemi (ad esempio il software firewall incluso in un sistema operativo) possono implementare regole firewall on-premise. Per consentire il traffico, configura in modo appropriato tutte le regole firewall nel percorso della rete VPC.
Se il tunnel VPN utilizza il routing dinamico (BGP), assicurati di consentire il traffico BGP per gli indirizzi IP locali rispetto al collegamento. Per maggiori dettagli, consulta la sezione successiva.

Considerazioni BGP per i gateway peer

Il routing dinamico (BGP) scambia le informazioni di routing utilizzando la porta TCP 179. Alcuni gateway VPN, inclusi i gateway Cloud VPN, consentono automaticamente questo traffico quando scegli il routing dinamico. Se il gateway VPN peer non lo consente, configuralo in modo da consentire il traffico in entrata e in uscita sulla porta TCP 179. Tutti gli indirizzi IP BGP utilizzano il blocco CIDR 169.254.0.0/16 locale del collegamento.

Se il gateway VPN peer non è connesso direttamente a internet, assicurati che sia i router peer, le regole del firewall e le appliance di sicurezza siano configurati in modo da passare almeno il traffico BGP (porta TCP 179) e il traffico ICMP al gateway VPN. Il protocollo ICMP non è obbligatorio, ma è utile per testare la connettività tra un router Cloud e il gateway VPN. L'intervallo di indirizzi IP a cui deve essere applicata la regola firewall peer deve includere gli indirizzi IP BGP del router Cloud e del gateway.

Passaggi successivi

Per assicurarti che i componenti comunichino correttamente con Cloud VPN, consulta Controllare lo stato della VPN.
Per utilizzare scenari di alta disponibilità e velocità effettiva elevata o scenari con più subnet, consulta Configurazioni avanzate.
Per aiutarti a risolvere i problemi comuni che potresti riscontrare durante l'utilizzo di Cloud VPN, consulta Risoluzione dei problemi.