Como usar regras de firewall

Nesta página, você conhecerá os comandos para trabalhar com regras de firewall, com alguns exemplos de uso. Para saber mais sobre as regras do firewall, leia Visão geral das regras do firewall.

Como criar regras de firewall

Veja os componentes de regras de firewall se você não conhecer bem essas regras no GCP. As regras de firewall são identificadas no nível da rede e se aplicam apenas à rede em que são criadas. No entanto, o nome escolhido para cada uma precisa ser único no projeto.

Console

  1. Acesse a página "Regras de firewall" no Console do Google Cloud Platform.
    Acessar a página "Regras de firewall"
  2. Clique em Create firewall rule.
  3. Digite um Nome para a regra do firewall.
    Este nome precisa ser exclusivo para o projeto.
  4. Especifique a Rede em que a regra de firewall será implementada.
  5. Especifique a Prioridade da regra.
    Quanto menor o número, mais alta a prioridade.
  6. Em Direção do tráfego, escolha entrada ou saída.
  7. Em Ação se houver correspondência, escolha permitir ou negar.
  8. Especifique os Destinos da regra.
    • Se você quiser que a regra se aplique a todas as instâncias na rede, escolha All instances in the network.
    • Se você quiser que a regra se aplique a determinadas instâncias por tags de rede (destino), selecione Specified target tags e digite as tags a que a regra se aplicará no campo Tags de destino.
    • Se você quiser que a regra se aplique a determinadas instâncias por conta de serviço associada, selecione Specified service account, indique se a conta está no projeto atual ou em outro em Escopo da conta de serviço e escolha ou digite o nome dessa conta no campo Conta de serviço de destino.
  9. Para uma regra de entrada, especifique o Filtro de origem.
    • Selecione IP ranges e digite os blocos CIDR no campo Intervalos de IP de origem para definir a origem do tráfego de entrada por intervalos de endereço IP. Use 0.0.0.0/0 para qualquer rede de origem.
    • Selecione Subnets e, no botão pop-up Sub-redes, marque as que forem relevantes para definir a origem do tráfego de entrada pelo nome da sub-rede.
    • Para limitar a origem pela tag de rede, selecione Source tags e digite as tags de rede no campo Tags de origem. Para ver o limite do número de tags de origem, consulte Cotas e Limites do VPC. A filtragem por tag de origem só estará disponível se o destino não for especificado pela conta de serviço. Para saber mais informações, consulte Como filtrar por conta de serviço versus tag de rede.
    • Para limitar a origem por conta de serviço, selecione Service account, indique se a conta está no projeto atual ou em outro em Escopo da conta de serviço e escolha ou digite o nome dessa conta no campo Conta de serviço de origem. A filtragem por conta de serviço de origem só estará disponível se o destino não for especificado pela tag de rede. Para saber mais informações, consulte Como filtrar por conta de serviço versus tag de rede.
    • Especifique um Segundo filtro de origem, se quiser. Os filtros de origem secundários não podem usar os mesmos critérios de filtro que o principal.
  10. Para uma regra de saída, especifique o Filtro de destino.
    • Selecione IP ranges e digite os blocos CIDR no campo Intervalos de IP de destino para definir o destino do tráfego de saída por intervalos de endereço IP. Use 0.0.0.0/0 para indicar em qualquer lugar.
    • Selecione Subnets e, no botão pop-up Sub-redes, marque as que forem relevantes para definir a origem do tráfego de entrada pelo nome da sub-rede.
  11. Defina os Protocolos e portas a que a regra será aplicada:

    • Selecione Allow all ou Deny all, dependendo da ação, para que a regra se aplique a todos os protocolos e portas.

    • Defina protocolos e portas específicos:

      • Selecione tcp para incluir o protocolo TCP e as portas. Digite all ou uma lista de portas delimitadas por vírgulas, como 20-22, 80, 8080.
      • Selecione udp para incluir o protocolo UDP e as portas. Digite all ou uma lista de portas delimitadas por vírgulas, como 67-69, 123.
      • Selecione Outros protocolos para incluir protocolos como icmp ou sctp.
  12. (Opcional) É possível criar a regra de firewall, mas não aplicá-la, definindo seu estado de aplicação como desativada. Clique em Desativar regra e selecione Desativada.

  13. (Opcional) É possível ativar o registro de regras de firewall:

    • Clique em Registros > Ativado.
    • Clique em Ativar.
  14. Clique em Criar.

gcloud

O comando gcloud para criar regras de firewall é:

gcloud compute firewall-rules create [NAME] \
    [--network [NETWORK]; default=”default”] \
    [--priority [PRIORITY];default=1000] \
    [--direction (ingress|egress|in|out); default=”ingress”] \
    [--action (deny | allow )] \
    [--target-tags [TAG][,TAG,...]] \
    [--target-service-accounts=[IAM Service Account] \
    [--source-ranges [CIDR-RANGE][,CIDR-RANGE…]] \
    [--source-tags [TAG][,TAG,...]] \
    [--source-service-accounts=[IAM Service Account] \
    [--destination-ranges [CIDR-RANGE][,CIDR-RANGE...]] \
    [--rules ([PROTOCOL][:PORT[-PORT]],[PROTOCOL[:PORT[-PORT]],...]] | all ) \
    [--disabled | --no-disabled]
    [--enable-logging | --no-enable-logging] (requires `gcloud beta`)

Use os parâmetros da seguinte maneira. Mais detalhes sobre cada um estão disponíveis na documentação de referência do SDK.

  • --network: a rede em que a regra será criada. Se ela não for informada, a regra será criada na rede default. Se você não tiver uma rede padrão ou quiser criar a regra em uma rede específica, use este campo.
  • --priority: um valor numérico que indica a prioridade da regra. Quanto menor o número, maior a prioridade.
  • --direction: a direção do tráfego, que pode ser ingress ou egress.
  • --action: a ação se houver correspondência, que pode ser allow ou deny. Precisa ser usado com a sinalização --rules.
  • Especifique um destino de uma das três maneiras:
  • Para uma regra de entrada, especifique uma origem:
    • Omita --source-ranges, source-tags e --source-service-accounts se a origem de entrada precisar ser qualquer lugar, 0.0.0.0/0.
    • --source-ranges: use esta sinalização para especificar intervalos de endereços IP de origem no formato CIDR.
    • --source-tags: use esta sinalização para especificar instâncias de origem por tags de rede. A filtragem por tag de origem só estará disponível se o destino não for especificado pela conta de serviço. Para saber mais informações, consulte Como filtrar por conta de serviço versus tag de rede.
    • --source-ranges e --source-tags podem ser usados juntos. Se ambos forem especificados, o conjunto de origens efetivas será a união dos endereços IP do intervalo de origem e as instâncias identificadas pelas tags de rede, mesmo se as instâncias marcadas tiverem IPs fora dos intervalos de origem.
    • --source-service-accounts: use esta sinalização para especificar instâncias pela conta de serviço que elas usam. A filtragem por conta de serviço de origem só estará disponível se o destino não for especificado pela tag de rede. Para saber mais informações, consulte Como filtrar por conta de serviço versus tag de rede.
  • Para uma regra de saída, especifique um destino:
    • Omita --destination-ranges se o destino de saída for qualquer lugar, 0.0.0.0/0.
    • --destination-ranges: use esta sinalização para especificar intervalos de endereços IP de destino no formato CIDR.
  • --rules: uma lista de protocolos e portas a que uma regra será aplicada. Use all para aplicar a todos os protocolos e portas. Requer a sinalização --action.
  • Por padrão, as regras de firewall são criadas e aplicadas automaticamente. No entanto, é possível alterar esse comportamento.
    • Se --disabled e --no-disabled forem omitidos, a regra de firewall será criada e aplicada.
    • --disabled: adicione esta sinalização para criar a regra de firewall, mas não aplicá-la. Ela permanecerá no estado desativado até que você a atualize para ativá-la.
    • --no-disabled: adicione este sinalizador para garantir que a regra de firewall seja aplicada.
  • (Beta) É possível ativar a geração de registros de regras de firewall de uma regra ao criá-la ou atualizá-la. Com a geração de registros de regras de firewall, é possível auditar, verificar e analisar os efeitos das suas regras de firewall. Consulte a geração de registros de regras de firewall para mais detalhes.

Como atualizar regras de firewall

É possível modificar qualquer componente de uma regra de firewall, exceto o nome, a rede, a ação se houver correspondência e a direção do tráfego.

Se for preciso alterar o nome, a rede ou o componente de ação ou de direção, exclua a regra e crie uma nova.

Console

  1. Acesse a página "Regras de firewall" no Console do Google Cloud Platform.
    Acessar a página "Regras de firewall"
  2. Clique na regra do firewall que você quer modificar.
  3. Clique em Editar.
  4. Modifique qualquer um dos componentes editáveis para atender às suas necessidades.

    No campo Protocolos e portas especificados, use uma lista delimitada por ponto e vírgula para especificar vários protocolos.

  5. Clique em Salvar.

gcloud

O comando gcloud para atualizar regras de firewall é:

gcloud compute firewall-rules update [NAME] \
    [--priority=[PRIORITY]] \
    [--description=[DESCRIPTION]] \
    [--target-tags=[[TAG],…]] \
    [--target-service-accounts=[IAM Service Account] \
    [--source-ranges=[[CIDR_RANGE],…]] \
    [--source-tags=[[TAG],…]] \
    [--source-service-accounts=[IAM Service Account] \
    [--destination-ranges=[CIDR_RANGE,…]] \
    [--rules=[[PROTOCOL][:PORT[-PORT]],…]] \
    [--disabled | --no-disabled]
    [--enable-logging | --no-enable-logging] (requires `gcloud beta`)

A descrição de cada sinalização é a mesma usada na criação de regras de firewall. Veja mais detalhes sobre cada uma na documentação de referência do SDK.

Como listar regras de firewall para uma rede VPC

Console

Para mostrar todas as regras de firewall para todas as redes do seu projeto, faça o seguinte:

Para mostrar regras de firewall em uma rede específica, siga estas etapas:

  1. Acesse a página "Redes VPC" no Console do Google Cloud Platform.
    Acessar a página "Redes VPC"
  2. Clique no Nome de uma rede VPC para acessar a respectiva página de detalhes.
  3. Na página de detalhes da rede, clique na guia Regras de firewall.

gcloud

O comando a seguir produz uma lista classificada de regras de firewall para uma determinada rede ([NETWORK_NAME]).

gcloud compute firewall-rules list --filter network=[NETWORK_NAME] \
    --sort-by priority \
    --format="table(
        name,
        network,
        direction,
        priority,
        sourceRanges.list():label=[SRC_RANGES],
        destinationRanges.list():label=[DEST_RANGES],
        allowed[].map().firewall_rule().list():label=ALLOW,
        denied[].map().firewall_rule().list():label=DENY,
        sourceTags.list():label=[SRC_TAGS],
        targetTags.list():label=[TARGET_TAGS]
        )"

Como listar regras de firewall para uma interface de rede de uma instância de VM

O Console do GCP lista, para cada interface de rede, todas as regras de firewall que se aplicam à interface e às regras que estão sendo usadas por ela. As regras de firewall podem mascarar outras regras. Assim, nem todas as regras que se aplicam a uma interface são usadas por ela.

As regras de firewall são associadas e aplicadas a uma instância de VM por meio do parâmetro de destino de uma regra. Ao visualizar todas as regras aplicadas, você pode verificar se uma determinada regra é aplicada a uma interface.

Para visualizar todas as regras de firewall que se aplicam a uma interface de rede específica de uma instância de VM, faça o seguinte:

  1. Acesse a página de instâncias de VMs no Console do Google Cloud Platform e encontre a instância a ser exibida.
    Acesse a página "Instâncias de VMs"
  2. No menu de mais ações da instância (), selecione Ver detalhes da rede.
  3. Se uma instância tiver várias interfaces de rede, selecione a que você quer exibir na seção Detalhes da interface de rede.
  4. Clique na guia Regras de firewall para ver todas as regras que se aplicam à interface de rede classificadas por nome da regra.

Nem todas as regras que se aplicam a uma interface de rede são usadas. Algumas podem ser modificadas por regras com um intervalo mais específico ou uma prioridade mais alta. Ao visualizar as regras que estão em uso, você pode verificar rapidamente quais intervalos, protocolos e portas de IP estão abertos ou fechados para a instância.

Para visualizar as regras que estão em uso por uma interface de rede específica de uma instância de VM, faça o seguinte:

  1. Acesse a página de instâncias de VMs no Console do Google Cloud Platform e encontre a instância a ser exibida.
    Acesse a página "Instâncias de VMs"
  2. No menu de mais ações da instância (), selecione Ver detalhes da rede.
  3. Se uma instância tiver várias interfaces de rede, selecione a que você quer exibir na seção Detalhes da interface de rede.
  4. Na seção Análise de rede, selecione a guia Análise de entrada ou Análise de saída.
  5. Visualize a tabela, classificada do intervalo de endereços IP mais específico ao menos específico, para determinar se o tráfego de saída ou entrada de um endereço IP específico é permitido.

Como ver detalhes de regras de firewall

Você pode inspecionar uma regra de firewall para ver o nome, a rede aplicável e os componentes dela, inclusive se a regra está ativada ou desativada.

Console

  1. Liste suas regras de firewall. É possível ver uma lista de todas as regras ou apenas aquelas em uma rede específica.
  2. Clique na regra que você quer ver.

gcloud

O comando a seguir descreve uma regra de firewall individual. Substitua [FIREWALL_RULE_NAME] pelo nome da regra de firewall. Como os nomes de regras de firewall são únicos no projeto, não é preciso especificar uma rede ao descrever uma existente.

gcloud compute firewall-rules describe [FIREWALL_RULE_NAME]

Como excluir regras de firewall

Console

  1. Liste suas regras de firewall. É possível ver uma lista de todas as regras ou apenas aquelas em uma rede específica.
  2. Clique na regra que você quer excluir.
  3. Clique em Excluir.
  4. Clique em Excluir novamente para confirmar.

gcloud

O comando a seguir exclui uma regra de firewall. Substitua [FIREWALL_RULE_NAME] pelo nome da regra a ser excluída.

gcloud compute firewall-rules delete [FIREWALL_RULE_NAME]

Como monitorar regras de firewall

É possível ativar o registro de regras de firewall para ver qual regra permitiu ou bloqueou o tráfego. Consulte Como usar o registro de regras de firewall para ver instruções.

Exemplos de configuração

O diagrama abaixo demonstra um exemplo de configuração de firewall. O cenário envolve uma my-network que contém o seguinte:

  • uma sub-rede subnet1 com intervalo de IP 10.240.10.0/24
  • uma sub-rede subnet2 com intervalo de IP 192.168.1.0/24
  • instância vm1 em subnet2 com a tag webserver e IP 192.168.1.2 interno
  • instância vm2 em subnet2 com a tag database e IP 192.168.1.3 interno
Exemplo de configuração de rede (clique para ampliar)
Exemplo de configuração de rede (clique para ampliar)

Exemplo 1: negar todas as conexões TCP de entrada, exceto as de subnet1 para a porta 80

Este exemplo cria um conjunto de regras de firewall que negam todas as conexões TCP de entrada, exceto as conexões destinadas à porta 80 da subnet1.

  1. Crie uma regra de firewall para negar todo o tráfego TCP de entrada para instâncias marcadas com webserver.

    gcloud compute firewall-rules create deny-subnet1-webserver-access \
        --network my-network \
        --action deny \
        --direction ingress \
        --rules tcp \
        --source-ranges 0.0.0.0/0 \
        --priority 1000 \
        --target-tags webserver
    
  2. Crie uma regra de firewall para permitir que todos os IPs em subnet1 (10.240.10.0/24) acessem a porta TCP 80 em instâncias marcadas com webserver.

    gcloud compute firewall-rules create vm1-allow-ingress-tcp-port80-from-subnet1 \
        --network my-network \
        --action allow \
        --direction ingress \
        --rules tcp:80 \
        --source-ranges 10.240.10.0/24 \
        --priority 50 \
        --target-tags webserver
    

Exemplo 2: negar todas as conexões TCP de saída, exceto as para a porta 80 da vm1

  1. Crie uma regra de firewall para negar todo o tráfego TCP de saída.

    gcloud compute firewall-rules create deny-all-access \
        --network my-network \
        --action deny \
        --direction egress \
        --rules tcp \
        --destination-ranges 0.0.0.0/0 \
        --priority 1000
    
  2. Crie uma regra de firewall para permitir o tráfego TCP destinado à porta 80 de vm1.

    gcloud compute firewall-rules create vm1-allow-egress-tcp-port80-to-vm1 \
        --network my-network \
        --action allow \
        --direction egress \
        --rules tcp:80 \
        --destination-ranges 192.168.10.2/32 \
        --priority 60
    

Exemplo 3: permitir a saída de conexões TCP para a porta 443 de um host externo

Crie uma regra de firewall que permita que instâncias marcadas com webserver enviem o tráfego TCP de saída para a porta 443 de um endereço IP externo de amostra, 192.0.2.5.

gcloud compute firewall-rules create vm1-allow-egress-tcp-port443-to-192-0-2-5 \
    --network my-network \
    --action allow \
    --direction egress \
    --rules tcp:443 \
    --destination-ranges 192.0.2.5/32 \
    --priority 70 \
    --target-tags webserver

Exemplo 4: permitir conexões SSH de vm2 para vm1

Crie uma regra de firewall que permita o tráfego SSH de instâncias com tag database (vm2) para chegar a instâncias com a tag webserver (vm1).

gcloud compute firewall-rules create vm1-allow-ingress-tcp-ssh-from-vm2 \
    --network my-network \
    --action allow \
    --direction ingress \
    --rules tcp:22 \
    --source-tags database \
    --priority 80 \
    --target-tags webserver

Exemplo 5: permitir TCP:1443 do servidor da Web para o banco de dados usando contas de serviço

Para mais informações sobre contas de serviço e papéis, consulte "Como conceder papéis a contas de serviço".

Considere o cenário no diagrama abaixo, no qual há dois aplicativos com escalonamento automático feito por meio de modelos, um aplicativo de servidor da Web my-sa-web e um aplicativo de banco de dados "my-sa-db". Um administrador de segurança deseja permitir o fluxo TCP na porta 1443 da my-sa-web para my-sa-db.

Como usar regras de firewall com contas de serviço (clique para ampliar)
Como usar regras de firewall com contas de serviço (clique para ampliar)

As etapas de configuração, incluindo a criação das contas de serviço, são as seguintes:

  1. Um EDITOR ou PROPRIETÁRIO do projeto cria as contas de serviço my-sa-web e my-sa-db.

    gcloud iam service-accounts create my-sa-web \
        --display-name "webserver service account"
    
    gcloud iam service-accounts create my-sa-db \
        --display-name "database service account"
    
  2. Um PROPRIETÁRIO do projeto atribui ao desenvolvedor do servidor da Web web-dev@example.com o papel de serviceAccountUser para a conta my-sa-web ao definir uma política de IAM.

    gcloud iam service-accounts add-iam-policy-binding \
       my-sa-web@my-project.iam.gserviceaccount.com \
       --member='user:web-dev@example.com' \
       --role='roles/iam.serviceAccountUser'
    
  3. Um PROPRIETÁRIO do projeto atribui ao desenvolvedor do banco de dados "db-dev@example.com" o papel serviceAccountUser para a conta my-sa-db ao definir uma política do IAM.

    gcloud iam service-accounts add-iam-policy-binding \
       my-sa-db@my-project.iam.gserviceaccount.com \
       --member='user:db-dev@example.com' \
       --role='roles/iam.serviceAccountUser'
    
  4. O desenvolvedor web-dev@example.com, que tem o papel de administrador da instância, cria um modelo de instância de servidor da Web e autoriza a execução das instâncias como conta de serviço my-sa-web.

    gcloud compute instance-templates create [INSTANCE_TEMPLATE_NAME]  \
        --service-account my-sa-web@my-project-123.iam.gserviceaccount.com
    
  5. O desenvolvedor db-dev@example.com, que tem o papel de administrador de instância, cria o modelo de instância do banco de dados e autoriza a execução das instâncias como conta de serviço my-sa-db.

    gcloud compute instance-templates create [INSTANCE_TEMPLATE_NAME] \
        --service-account my-sa-db@my-project-123.iam.gserviceaccount.com
    
  6. O administrador de segurança cria as regras de firewall usando contas de serviço para permitir o tráfego TCP:1443 da conta de serviço my-sa-web para a my-sa-db.

    gcloud compute firewall-rules create [NAME] \
        --network network_a \
        --allow TCP:1443 \
        --source-service-accounts my-sa-web@my-project.iam.gserviceaccount.com \
        --target-service-accounts my-sa-db@my-project.iam.gserviceaccount.com
    

Como resolver problemas

Mensagens de erro ao criar ou atualizar uma regra de firewall

Pode aparecer uma das seguintes mensagens de erro:

  • Should not specify destination range for ingress direction.

    Os intervalos de destino não são parâmetros válidos para regras de firewall de entrada. Presume-se que as regras de firewall sejam regras de entrada, a menos que a direção de egress seja expressamente especificada. Para criar uma regra sem especificar uma direção, crie-a como regra de entrada que não permita um intervalo de destino. Além disso, os intervalos de origem não são parâmetros válidos para as regras de saída.

  • Firewall direction cannot be changed once created.

    Não é possível alterar a direção de uma regra de firewall existente. Você precisa criar uma nova regra com os parâmetros corretos e excluir a antiga.

  • Firewall traffic control action cannot be changed once created.

    Não é possível alterar a ação de uma regra de firewall existente. Crie uma nova regra com os parâmetros corretos e exclua a antiga.

  • Service accounts must be valid RFC 822 email addresses. A conta de serviço especificada na regra de firewall precisa ser um endereço de e-mail formatado conforme a norma RFC 822.

    gcloud compute firewall-rules create bad --allow tcp --source-service-accounts invalid-email
    

    Creating firewall...failed.
    ERROR: (gcloud.compute.firewall-rules.create) Could not fetch resource:

    • Invalid value for field 'resource.sourceServiceAccounts[0]': 'invalid-email'. Service accounts must be valid RFC 822 email addresses.
  • ServiceAccounts and Tags are mutually exclusive and can't be combined in the same firewall rule. Não é possível especificar contas de serviço e tags na mesma regra.

    gcloud compute firewall-rules create bad --allow tcp --source-service-accounts test@google.com --target-tags target
    

    Creating firewall...failed.
     ERROR: (gcloud.compute.firewall-rules.create) Could not fetch resource:

    • ServiceAccounts and Tags are mutually exclusive and can't be combined in the same firewall rule.
  • Não é possível conectar-se à instância de VM

    Para se conectar a uma instância de VM, verifique suas regras de firewall.

    1. Para iniciar a conexão de outra instância de VM, liste as regras de firewall de saída para essa instância.

      gcloud compute firewall-rules list --filter network=[NETWORK_NAME] \
          --filter EGRESS \
          --sort-by priority \
          --format="table(
              name,
              network,
              direction,
              priority,
              sourceRanges.list():label=SRC_RANGES,
              destinationRanges.list():label=DEST_RANGES,
              allowed[].map().firewall_rule().list():label=ALLOW,
              denied[].map().firewall_rule().list():label=DENY,
              sourceTags.list():label=SRC_TAGS,
              sourceServiceAccounts.list():label=SRC_SVC_ACCT,
              targetTags.list():label=TARGET_TAGS,
              targetServiceAccounts.list():label=TARGET_SVC_ACCT
              )"
      
    2. Verifique se o IP de destino é negado por alguma regra de saída. A regra com a prioridade mais alta (número de prioridade mais baixa) substitui regras de prioridade mais baixa. Para duas regras com a mesma prioridade, opta-se pela regra de negação.

    3. Verifique a regra de firewall de entrada para a rede que contém a instância de VM de destino.

      gcloud compute firewall-rules list --filter network=[NETWORK_NAME] \
          --filter INGRESS \
          --sort-by priority \
          --format="table(
              name,
              network,
              direction,
              priority,
              sourceRanges.list():label=SRC_RANGES,
              destinationRanges.list():label=DEST_RANGES,
              allowed[].map().firewall_rule().list():label=ALLOW,
              denied[].map().firewall_rule().list():label=DENY,
              sourceTags.list():label=SRC_TAGS,
              sourceServiceAccounts.list():label=SRC_SVC_ACCT,
              targetTags.list():label=TARGET_TAGS,
              targetServiceAccounts.list():label=TARGET_SVC_ACCT
              )"
      

      Exemplo de saída. A saída dependerá da lista de regras de firewall.

      NAME                    NETWORK  DIRECTION  PRIORITY  SRC_RANGES    DEST_RANGES  ALLOW                         DENY  SRC_TAGS  SRC_SVC_ACCT      TARGET_TAGS  TARGET_SVC_ACCT
      default-allow-icmp      default  INGRESS    65534     0.0.0.0/0                  icmp
      default-allow-internal  default  INGRESS    65534     10.128.0.0/9               tcp:0-65535,udp:0-65535,icmp
      default-allow-rdp       default  INGRESS    65534     0.0.0.0/0                  tcp:3389
      default-allow-ssh       default  INGRESS    65534     0.0.0.0/0                  tcp:22
      firewall-with-sa        default  INGRESS    1000                                 tcp:10000                                     test1@google.com               target@google.com
      

    Minha regra de firewall está ativada ou desativada?

    Para ver se uma regra de firewall está ativada ou desativada, visualize os detalhes das regras de firewall.

    No Console do Google Cloud Platform, procure Enabled ou Disabled em Aplicação.

    Na saída da ferramenta de linha de comando gcloud , procure o campo disabled. Se o valor é disabled:false, a regra está ativada e sendo aplicada. Se o valor é disabled: true, a regra está desativada.

    Qual regra é aplicada em uma instância de VM?

    Imagine que você inclua uma nova regra de firewall em uma rede VPC que permite o tráfego para um servidor de banco de dados em 10.1.2.3 via tcp:1433. Depois da criação dessa regra, é possível verificar se ela está sendo aplicada corretamente em uma instância específica. Para mais informações, consulte Como listar regras de firewall para uma interface de rede de uma instância de VM.

    No exemplo a seguir, o console lista a regra database-access na guia Análise de saída para essa instância de VM, o que significa que o tráfego de saída 10.1.2.3 é permitido na porta 1433. Outro tráfego de saída no intervalo 10.1.0.0/16 é bloqueado devido à regra de firewall deny-database-subnet.

    Tráfego de saída permitido para uma instância de VM (clique para ampliar)
    Tráfego de saída permitido para uma instância de VM (clique para ampliar)

    A seguir

    Esta página foi útil? Conte sua opinião sobre: