Configurer les règles de pare-feu

Cette page indique comment configurer les règles de pare-feu Google Cloud, ainsi que les règles de pare-feu de votre réseau pair.

Lorsque vous configurez des tunnels Cloud VPN pour vous connecter à votre réseau pair, vous devez vérifier et modifier les règles de pare-feu de vos réseaux Google Cloud et pairs selon vos besoins. Si votre réseau pair est un autre réseau cloud privé virtuel (VPC), configurez des règles de pare-feu Google Cloud pour les deux côtés de la connexion réseau.

Règles de pare-feu Google Cloud

Les règles de pare-feu Google Cloud s'appliquent aux paquets envoyés vers et depuis des instances de machine virtuelle (VM) sur votre réseau VPC et de à travers des tunnels Cloud VPN.

La règle implicite de sortie autorisée permet aux instances de VM et à d'autres ressources de votre réseau Google Cloud d'émettre des requêtes sortantes et de recevoir des réponses établies. La règle implicite d'entrée interdite, quant à elle, bloque tout le trafic entrant vers vos ressources Google Cloud.

Au minimum, vous devez créer des règles de pare-feu pour autoriser le trafic d'entrée depuis votre réseau pair vers Google Cloud. Vous devrez peut-être également créer des règles de sortie si vous avez créé d'autres règles de sortie visant à refuser certains types de trafic.

Le trafic contenant les protocoles UDP 500, UDP 4500 et ESP (IPSec, protocole IP 50) est toujours autorisé depuis et vers une ou plusieurs adresses IP externes sur une passerelle Cloud VPN. Cependant, les règles de pare-feu Google Cloud ne s'appliquent pas aux paquets IPSec post-encapsulés qui sont envoyés depuis une passerelle Cloud VPN vers une passerelle VPN de pairs.

Pour en savoir plus sur les règles de pare-feu Google Cloud, consultez la page Présentation des règles de pare-feu.

Exemples de configurations

Pour obtenir des exemples de restriction du trafic entrant ou sortant, consultez les exemples de configuration de pare-feu dans la documentation VPC.

L'exemple suivant crée une règle de pare-feu entrée autorisée. Cette règle autorise tout le trafic TCP, UDP et ICMP provenant du CIDR de votre réseau pair vers les machines virtuelles de votre réseau VPC.

Console

  1. Accédez à la page "Tunnels VPN" de Google Cloud Console.
    Accéder à la page "Tunnels VPN"
  2. Cliquez sur le tunnel VPN que vous souhaitez utiliser.
  3. Dans la section "Passerelle VPN", cliquez sur le nom du réseau VPC. Vous êtes dirigé vers la page "Détails du réseau VPC" contenant le tunnel.
  4. Sélectionnez l'onglet Règles de pare-feu.
  5. Cliquez sur Ajouter une règle de pare-feu. Ajoutez une règle pour TCP, UDP et ICMP :
    • Nom : allow-tcp-udp-icmp
    • Filtre source : plages d'adresses IP
    • Plages d'adresses IP sources : valeur de la plage d'adresses IP du réseau distant définie lors de la création du tunnel. Si vous disposez de plusieurs plages pour le réseau pair, saisissez chacune d'entre elles. Appuyez sur la touche Tabulation entre les entrées.
    • Protocoles ou ports autorisés : tcp; udp; icmp
    • Tags cibles : un ou plusieurs tags valides.
  6. Cliquez sur Créer.
  7. Créez d'autres règles de pare-feu si nécessaire.

Vous pouvez également créer des règles depuis la page "Règles de pare-feu" de Google Cloud Console.

  1. Accédez à la page Règles de pare-feu.
  2. Cliquez sur Créer une règle de pare-feu.
  3. Complétez les champs suivants :
    • Nom : vpnrule1
    • Réseau VPC : my-network
    • Filtre source : IP ranges
    • Plages d'adresses IP sources : plages d'adresses IP du réseau pair à accepter en provenance de la passerelle VPN de pairs.
    • Protocoles et ports autorisés : tcp;udp;icmp
  4. Cliquez sur Créer.

gcloud

      gcloud  compute --project project-id firewall-rules create vpnrule1 \
        --network network \
        --allow tcp,udp,icmp \
        --source-ranges peer-source-range
    

Si vous disposez de plusieurs plages d'adresses pour votre réseau pair, introduisez une liste dans le champ de plages sources, en séparant les éléments par des virgules (--source-ranges 192.168.1.0/24,192.168.2.0/24).

Voir les règles de pare-feu gcloud pour obtenir davantage d'informations sur la commande firewall-rules.

Règles de pare-feu de pairs

Lors de la configuration de vos règles de pare-feu de pairs, tenez compte des points ci-dessous :

  • Vous devez configurer des règles pour autoriser le trafic sortant et entrant vers et depuis les plages IP utilisées par les sous-réseaux de votre réseau VPC.
  • Vous pouvez choisir d'autoriser tous les protocoles et ports, ou bien de limiter le trafic à l'ensemble de protocoles et de ports requis pour répondre à vos besoins.
  • Vous devez autoriser le trafic ICMP si vous avez besoin de communiquer entre des systèmes pairs et des instances ou des ressources dans Google Cloud avec ping.
  • N'oubliez pas que les règles de pare-feu sur site peuvent être mises en œuvre à la fois par vos appareils réseau (par exemple, dispositifs de sécurité, pare-feu, commutateurs, routeurs et passerelles) et par des logiciels s'exécutant sur vos systèmes (tels qu'un logiciel de pare-feu inclus dans un système d'exploitation). Tous les pare-feu du chemin d'accès à votre réseau VPC doivent être dûment configurés pour autoriser le trafic.
  • Si votre tunnel VPN utilise le routage dynamique (BGP), veillez à autoriser le trafic BGP pour les adresses IP de liaison locale. Pour en savoir plus, consultez la section suivante.

Considérations relatives à BGP pour les passerelles de pairs

Dans le cadre du routage dynamique (BGP), des informations de routage sont échangées à l'aide du port TCP 179. Certaines passerelles VPN, y compris les passerelles Cloud VPN, autorisent automatiquement ce trafic lorsque vous choisissez le routage dynamique. Si ce n'est pas le cas de votre passerelle VPN de pairs, vous devez la configurer de sorte à autoriser le trafic entrant et sortant sur le port TCP 179. Toutes les adresses IP BGP utilisent le bloc CIDR 169.254.0.0/16 de liaison locale.

Si votre passerelle VPN de pairs n'est pas directement connectée à Internet, assurez-vous que celle-ci, ainsi que les routeurs pairs, les pare-feu et les systèmes de sécurité sont configurés pour transmettre au moins le trafic BGP (port TCP 179) et le trafic ICMP à votre passerelle VPN. Le trafic ICMP n'est pas indispensable, mais s'avère utile pour tester la connectivité entre un routeur cloud et votre passerelle VPN. La plage d'adresses IP à laquelle votre règle de pare-feu de pairs doit s'appliquer doit inclure l'adresse IP BGP du routeur cloud et l'adresse IP BGP de votre passerelle.

Étapes suivantes