ファイアウォール ルールの構成

このページでは、Google Cloud のファイアウォール ルールとピア ネットワークのファイアウォール ルールを構成する方法について説明します。

ピア ネットワークに接続するように Cloud VPN トンネルを構成する場合は、Google Cloud とピア ネットワークのファイアウォール ルールを確認のうえニーズに合わせて変更します。ピア ネットワークが異なる Virtual Private Cloud(VPC)ネットワークである場合は、ネットワーク接続の両側に Google Cloud ファイアウォール ルールを構成します。

Google Cloud ファイアウォール ルール

Google Cloud ファイアウォール ルールは、Cloud VPN トンネル経由で VPC ネットワーク内の仮想マシン(VM)インスタンス間で送受信されるパケットに適用されます。

暗黙の下り(外向き)許可ルールを使用すると、Google Cloud ネットワークの VM インスタンスや他のリソースが送信リクエストを送信し、確立されたレスポンスを受信できますが、暗黙の上り(内向き)拒否ルールを使用すると、Google Cloud のリソースへのすべての受信トラフィックがブロックされます。

ピア ネットワークから Google Cloud への上り(内向き)トラフィックを許可するには、少なくともファイアウォール ルールを作成する必要があります。特定の種類のトラフィックを拒否する下り(外向き)ルールを別途作成した場合も、下り(外向き)ルールを作成する必要が発生します。

プロトコル UDP 500、UDP 4500、ESP(IPSec、IP プロトコル 50)を含むトラフィックは、Cloud VPN ゲートウェイ上の 1 つ以上の外部 IP アドレス間で常に許可されます。ただし、Cloud VPN ゲートウェイからピア VPN ゲートウェイに送信されるカプセル化された後の IPSec パケットには、Google Cloud のファイアウォール ルールは適用されません

Google Cloud のファイアウォール ルールの詳細については、ファイアウォール ルールの概要をご覧ください。

構成例

複数の上り(内向き)トラフィックまたは下り(外向き)トラフィックの制限例については、VPC ドキュメントのファイアウォール構成例を参照してください。

次の例では、上り(内向き)許可ファイアウォール ルールを作成します。このルールでは、ピア ネットワークの CIDR から VPC ネットワーク内の VM へのすべての TCP、UDP、ICMP トラフィックを許可します。

Console

  1. Google Cloud Console の [VPN トンネル] ページに移動します。
    [VPN トンネル] ページに移動
  2. 使用する VPN トンネルをクリックします。
  3. VPN ゲートウェイ セクションで、VPC ネットワークの名前をクリックします。これにより、トンネルを含む VPC ネットワークの詳細ページが表示されます。
  4. [ファイアウォール ルール] タブを選択します。
  5. [ファイアウォール ルールを追加] をクリックします。TCP、UDP、ICMP のルールを追加します。
    • 名前: allow-tcp-udp-icmp
    • [ソースフィルタ]: IP 範囲。
    • [ソース IP 範囲]: チャネルの作成時に指定した [リモート ネットワーク IP の範囲] の値。ピア ネットワークの範囲が複数ある場合は、それぞれについて入力します。入力するたびに、Tab キーを押してください。
    • 許可対象プロトコル / ポート: tcp; udp; icmp
    • [ターゲットタグ]: 有効な任意のタグ。
  6. [作成] をクリックします。
  7. 必要に応じて他のファイアウォール ルールを作成します。

または、Google Cloud Console の [ファイアウォール ルール] ページからルールを作成することもできます。

  1. [ファイアウォール ルール] ページに移動します。
  2. [ファイアウォール ルールを作成] をクリックします。
  3. 次のフィールドに入力します。
    • 名前: vpnrule1
    • VPC ネットワーク: my-network
    • ソースフィルタ: IP ranges
    • ソース IP 範囲: ピア VPN ゲートウェイから受け入れるピア ネットワークの IP アドレス範囲。
    • 許可対象プロトコルとポート: tcp;udp;icmp
  4. [作成] をクリックします。

gcloud

      gcloud  compute --project project-id firewall-rules create vpnrule1 \
        --network network \
        --allow tcp,udp,icmp \
        --source-ranges peer-source-range
    

複数のピア ネットワーク範囲がある場合は、[source-ranges] フィールドにカンマ区切りのリストを指定します(--source-ranges 192.168.1.0/24,192.168.2.0/24)。

firewall-rules コマンドについての詳細は、gcloud ファイアウォール ルールのドキュメントをご覧ください。

ピア ファイアウォール ルール

ピア ファイアウォール ルールを構成する際は、次の点を考慮してください。

  • VPC ネットワークのサブネットで使用される IP 範囲間の下り(外向き)と上り(内向き)トラフィックを許可するルールを構成する必要があります。
  • すべてのプロトコルとポートを許可するか、ニーズを満たす必要なプロトコルとポートのみにトラフィックを制限できます。
  • ping を使用したピアシステムと Google Cloud 内のインスタンスまたはリソース間の通信を可能にする場合、ICMP トラフィックを許可する必要があります。
  • オンプレミスのファイアウォール ルールは、ネットワーク デバイス(セキュリティ アプライアンス、ファイアウォール デバイス、スイッチ、ルーター、ゲートウェイなど)とシステムで実行されているソフトウェア(オペレーティング システムに組み込まれているファイアウォール ソフトウェアなど)の両方で実装できます。VPC ネットワークへのパス内のファイアウォールはすべて、トラフィックを許可するよう適切に構成する必要があります。
  • VPN トンネルで動的(BGP)ルーティングを使用する場合は、リンクローカル IP アドレスに対して BGP トラフィックを許可するようにしてください。詳細については、次のセクションをご覧ください。

ピア ゲートウェイの BGP に関する考慮事項

動的(BGP)ルーティングは TCP ポート 179 を使用してルート情報を交換します。Cloud VPN ゲートウェイを含む一部の VPN ゲートウェイでは、動的ルーティングを選択するとこのトラフィックが自動的に許可されます。お使いのピア VPN ゲートウェイで自動的に許可されない場合、TCP ポート 179 で送受信トラフィックを許可するように構成する必要があります。すべての BGP IP アドレスはリンクローカル 169.254.0.0/16 CIDR ブロックを使用します。

ピア VPN ゲートウェイがインターネットに直接接続されていない場合は、少なくとも BGP トラフィック(TCP ポート 179)と ICMP トラフィックを VPN ゲートウェイに渡すように、ピア VPN ゲートウェイ、ピアルーター、ファイアウォール、セキュリティ アプライアンスを構成します。ICMP は必須ではありませんが、Cloud Router と VPN ゲートウェイの間の接続をテストするのに便利です。ピア ファイアウォール ルールを適用する IP アドレスの範囲には、Cloud Router の BGP IP アドレスとゲートウェイの BGP IP アドレスを含める必要があります。

次のステップ