Como configurar regras de firewall

Esta página fornece orientações sobre como configurar regras de firewall do Google Cloud e suas regras de firewall de rede de peering.

Ao configurar túneis do Cloud VPN para se conectar à sua rede de peering, revise e modifique regras de firewall no Google Cloud e em redes de peering para garantir que atendam às suas necessidades. Se a rede de peering for outra rede de nuvem privada virtual (VPC), configure as regras de firewall do Google Cloud para os dois lados da conexão de rede.

Para mais informações sobre o Cloud VPN, consulte os seguintes recursos:

Regras de firewall do Google Cloud

As regras de firewall do Google Cloud aplicam-se a pacotes enviados e recebidos de instâncias de máquina virtual (VM) na rede VPC e através dos túneis do Cloud VPN.

A regra de saída de permissão implícita permite que instâncias de VM e outros recursos na sua rede do Google Cloud façam solicitações de saída e recebam respostas estabelecidas. No entanto, a regra negar entrada implícita bloqueia todo o tráfego de entrada para os recursos do Google Cloud.

Crie pelo menos uma regra de firewall para permitir o tráfego de entrada da sua rede de peering para o Google Cloud. Se você criou regras de saída para negar determinados tipos de tráfego, talvez também seja necessário criar outras regras.

O tráfego que contém os protocolos UDP 500, UDP 4500 e ESP (IPSec, protocolo IP 50) sempre é permitido entre um ou mais endereços IP externos em um gateway do Cloud VPN. No entanto, as regras de firewall do Google Cloud não se aplicam aos pacotes IPSec pós-encapsulados (em inglês) que são enviados de um gateway do Cloud VPN para um gateway de VPN de peering.

Para mais informações sobre as regras de firewall do Google Cloud, consulte a visão geral das regras de firewall da VPC.

Exemplos de configurações

Para vários exemplos de restrição de tráfego de entrada ou saída, consulte os exemplos de configuração na documentação da VPC.

O exemplo a seguir cria uma regra de firewall de permissão de entrada. Essa regra permite todo o tráfego TCP, UDP e ICMP do CIDR da rede de peering para as VMs na sua rede VPC.

Console

  1. No Console do Google Cloud, acesse a página Túneis de VPN.

    Acessar túneis de VPN

  2. Clique no túnel da VPN que você quer usar.

  3. Na seção Gateway da VPN, clique no nome da rede VPC. Você será direcionado para a página Detalhes da rede VPC que contém o túnel.

  4. Clique na guia Regras de firewall.

  5. Clique em Adicionar regra de firewall. Adicione uma regra para TCP, UDP e ICMP:

    • Nome: insira allow-tcp-udp-icmp.
    • Filtro de origem: selecione Intervalos de IP.
    • Intervalos de IPs de origem: insira um valor de Intervalo de IP da rede remota do momento em que o túnel foi criado. Caso tenha mais de um intervalo de rede de peering, insira cada um deles. Pressione a tecla Tab entre as entradas
    • Portas ou protocolos permitidos: insira tcp; udp; icmp.
    • Tags de destino: qualquer tag ou tags válidas
  6. Clique em Criar.

  7. Crie outras regras de firewall se for necessário.

Como alternativa, é possível criar regras a partir da página Firewall do Console do Cloud.

  1. Acesse a página "Firewall".

    Acessar o Firewall

  2. Clique em Create firewall rule.

  3. Preencha os seguintes campos inserindo estes valores:

    • Nome: vpnrule1
    • Rede VPC: my-network
    • Filtro de origem: IP ranges
    • Intervalos de IP de origem: os intervalos de endereços IP da rede de peering aceitos do gateway de VPN de peering.
    • Portas e protocolos permitidos: tcp;udp;icmp
  4. Clique em Criar.

gcloud

Execute este comando:

gcloud  compute --project PROJECT_ID firewall-rules create vpnrule1 \
    --network NETWORK \
    --allow tcp,udp,icmp \
    --source-ranges PEER_SOURCE_RANGE

Se você tiver mais de um intervalo de rede de peering, forneça uma lista separada por vírgulas no campo de intervalos de origem (--source-ranges 192.168.1.0/24,192.168.2.0/24).

Para mais informações sobre o comando firewall-rules, consulte a documentação sobre gcloud regras de firewall.

Regras de firewall de redes com peering

Ao configurar suas regras de firewall de redes com peering, considere o seguinte:

  • Você precisa configurar regras para permitir o tráfego de entrada e de saída entre os intervalos de IP usados pelas sub-redes na sua rede VPC.
  • Outra alternativa é permitir todos os protocolos e portas ou restringir o tráfego apenas ao conjunto de protocolos e portas necessário para atender às suas necessidades.
  • Permita o tráfego ICMP se você precisar usar ping para se comunicar entre sistemas de peering e instâncias ou recursos no Google Cloud.
  • Tanto seus dispositivos de rede (dispositivos de segurança, firewalls, chaves, roteadores e gateways) quanto o software em execução nos sistemas, como o software de firewall incluído em um sistema operacional, podem implementar o firewall local. regras. Para permitir o tráfego, configure todas as regras de firewall no caminho para sua rede VPC corretamente.
  • Se seu túnel da VPN usa roteamento dinâmico (BGP), permita o tráfego BGP para os endereços IP link-local. Para mais detalhes, consulte a próxima seção.

Considerações sobre o BGP para gateways de peering

As trocas de roteamento dinâmico (BGP) encaminham informações usando a porta TCP 179. Alguns gateways da VPN, incluindo gateways do Cloud VPN, permitem esse tráfego automaticamente quando você escolhe o roteamento dinâmico. Se o gateway da VPN de peering não permitir, você precisa configurá-lo para permitir tráfego de entrada e saída na porta TCP 179. Todos os endereços IP BGP usam o bloco CIDR 169.254.0.0/16 de link local.

Se o gateway da VPN de peering não estiver diretamente conectado à Internet, verifique se os roteadores, firewalls e dispositivos de segurança de peering estão configurados para passar pelo menos o tráfego BGP (porta TCP 179) e o tráfego ICMP para o gateway da VPN. O ICMP não é obrigatório, mas é útil para testar a conectividade entre um Cloud Router e o gateway da VPN. O intervalo de endereços IP ao qual sua regra de firewall de peering deve ser aplicada precisa incluir os endereços IP do BGP do Cloud Router e seu gateway.

A seguir