Como configurar regras de firewall

Esta página fornece orientações sobre como configurar regras de firewall do Google Cloud e suas regras de firewall de rede de peering.

Ao configurar túneis do Cloud VPN para se conectar à rede de peering, você precisa revisar e modificar regras de firewall nas redes do Google Cloud e de peering para garantir que atendam às suas necessidades. Se a rede de peering for outra rede de nuvem privada virtual (VPC), configure as regras de firewall do Google Cloud para os dois lados da conexão de rede.

Regras de firewall do Google Cloud

As regras de firewall do Google Cloud aplicam-se a pacotes enviados e recebidos de instâncias de máquina virtual (VM) na rede VPC e através dos túneis do Cloud VPN.

A regra de saída de permissão implícita permite que instâncias de VM e outros recursos na rede do Google Cloud façam solicitações de saída e recebam respostas estabelecidas, mas a regra de entrada de negação implícita bloqueia todo o tráfego de entrada nos recursos do Google Cloud.

No mínimo, você precisa criar regras de firewall para permitir o tráfego de entrada da sua rede de peering para o Google Cloud. Talvez você também precise criar regras de saída se tiver criado outras regras de saída para negar determinados tipos de tráfego.

O tráfego que contém os protocolos UDP 500, UDP 4500 e ESP (IPSec, protocolo IP 50) sempre é permitido entre um ou mais endereços IP externos em um gateway do Cloud VPN. No entanto, as regras de firewall do Google Cloud não se aplicam aos pacotes IPSec pós-encapsulados (em inglês) que são enviados de um gateway do Cloud VPN para um gateway de VPN de peering.

Para mais informações sobre as regras de firewall do Google Cloud, consulte Visão geral das regras de firewall.

Exemplos de configurações

Para ver vários exemplos de restrição de tráfego de entrada ou saída, consulte os exemplos de configuração de firewall na documentação da VPC.

O exemplo a seguir cria uma regra de firewall de permissão de entrada. Essa regra permite todo o tráfego TCP, UDP e ICMP do CIDR da rede de peering para as VMs na sua rede VPC.

Console

  1. Acesse a página de túneis VPN no Console do Google Cloud.
    Acesse a página "Túneis da VPN"
  2. Clique no túnel da VPN que você quer usar.
  3. Na seção Gateway da VPN, clique no nome da rede VPC. Você será direcionado para a página de detalhes da rede VPC que contém o túnel.
  4. Selecione a guia Regras de firewall.
  5. Clique em Adicionar regra de firewall. Adicione uma regra para TCP, UDP e ICMP:
    • Nome: allow-tcp-udp-icmp
    • Filtro de origem: intervalos de IP
    • Intervalos de IP de origem: valor do Intervalo de IP da rede remota no momento em que o túnel foi criado. Caso tenha mais de um intervalo de rede de peering, insira cada um deles. Pressione a tecla Tab entre as entradas.
    • Portas ou protocolos permitidos: tcp; udp; icmp
    • Tags de destino: qualquer tag ou tags válidas
  6. Clique em Criar.
  7. Crie outras regras de firewall se for necessário.

Como alternativa, é possível criar regras a partir da página de regras de firewall no Console do Google Cloud.

  1. Acesse a página Regras de firewall.
  2. Clique em Criar regra de firewall.
  3. Preencha os seguintes campos:
    • Nome: vpnrule1
    • Rede VPC: my-network
    • Filtro de origem: IP ranges.
    • Intervalos de IP de origem: os intervalos de endereços IP da rede de peering aceitos do gateway de VPN de peering.
    • Portas e protocolos permitidos: tcp;udp;icmp
  4. Clique em Criar.

gcloud

  gcloud  compute --project PROJECT_ID firewall-rules create vpnrule1 \
    --network NETWORK \
    --allow tcp,udp,icmp \
    --source-ranges PEER_SOURCE_RANGE

Se você tiver mais de um intervalo de rede de peering, forneça uma lista separada por vírgulas no campo de intervalos de origem (--source-ranges 192.168.1.0/24,192.168.2.0/24).

Consulte a documentação de regras de firewall gcloud para ver mais informações sobre o comando firewall-rules.

Regras de firewall de redes com peering

Ao configurar suas regras de firewall de redes com peering, considere o seguinte:

  • Você precisa configurar regras para permitir o tráfego de entrada e de saída entre os intervalos de IP usados pelas sub-redes na sua rede VPC.
  • Outra alternativa é permitir todos os protocolos e portas ou restringir o tráfego apenas ao conjunto de protocolos e portas necessário para atender às suas necessidades.
  • Você precisa permitir o tráfego ICMP se precisar se comunicar entre instâncias e sistemas de peering ou recursos no Google Cloud usando ping.
  • Lembre-se de que as regras de firewall locais podem ser implementadas por dispositivos de rede, como dispositivos de segurança, firewalls, chaves, roteadores e gateways, e em software em execução nos sistemas, como o software de firewall incluído em um sistema operacional. Todos os firewalls no caminho para a rede VPC precisam ser configurados adequadamente para permitir o tráfego.
  • Se seu túnel da VPN usa roteamento dinâmico (BGP), permita o tráfego BGP para os endereços IP link-local. Consulte a próxima seção para ver mais detalhes.

Considerações sobre o BGP para gateways de peering

As trocas de roteamento dinâmico (BGP) encaminham informações usando a porta TCP 179. Alguns gateways da VPN, incluindo gateways do Cloud VPN, permitem esse tráfego automaticamente quando você escolhe o roteamento dinâmico. Se o gateway da VPN de peering não permitir, você precisa configurá-lo para permitir tráfego de entrada e saída na porta TCP 179. Todos os endereços IP BGP usam o bloco CIDR 169.254.0.0/16 de link local.

Se o gateway da VPN de peering não estiver diretamente conectado à Internet, verifique se os roteadores, firewalls e dispositivos de segurança de peering estão configurados para passar pelo menos o tráfego BGP (porta TCP 179) e o tráfego ICMP para o gateway da VPN. O ICMP não é obrigatório, mas é útil para testar a conectividade entre um Cloud Router e o gateway da VPN. O intervalo de endereços IP em que sua regra de firewall de peering deve ser aplicada precisa incluir o endereço IP do BGP do Cloud Router e o endereço IP do BGP do gateway.

A seguir