Configurer des règles de pare-feu

Cette page indique comment configurer les règles de pare-feu Google Cloud, ainsi que les règles de pare-feu de votre réseau de pairs.

Lorsque vous configurez des tunnels Cloud VPN pour vous connecter à votre réseau de pairs, examinez et modifiez les règles de pare-feu de vos réseaux Google Cloud et de pairs afin de vous assurer qu'elles répondent à vos besoins. Si votre réseau de pairs est un autre réseau cloud privé virtuel (VPC), configurez des règles de pare-feu Google Cloud des deux côtés de la connexion réseau.

Pour en savoir plus sur Cloud VPN, consultez les ressources suivantes :

  • Pour découvrir les bonnes pratiques à suivre avant de configurer Cloud VPN, consultez la page Bonnes pratiques.

  • Pour en savoir plus sur Cloud VPN, consultez la Présentation de Cloud VPN.

  • Pour connaître la définition des termes utilisés sur cette page, consultez la section Termes clés.

Règles de pare-feu Google Cloud

Les règles de pare-feu Google Cloud s'appliquent aux paquets envoyés vers et depuis des instances de machine virtuelle (VM) sur votre réseau VPC et à travers des tunnels Cloud VPN.

La règle implicite d'autorisation du trafic sortant permet aux instances de VM et aux autres ressources de votre réseau Google Cloud d'effectuer des requêtes sortantes et de recevoir des réponses établies. En revanche, la règle implicite de refus du trafic entrant bloque tout le trafic entrant à destination de vos ressources Google Cloud.

Au minimum, créez des règles de pare-feu pour autoriser le trafic entrant provenant de votre réseau de pairs vers Google Cloud. Si vous avez créé des règles de trafic sortant pour refuser certains types de trafic, vous devrez peut-être créer d'autres règles de trafic sortant.

Le trafic contenant les protocoles UDP 500, UDP 4500 et ESP (IPSec, protocole IP 50) est toujours autorisé depuis et vers une ou plusieurs adresses IP externes sur une passerelle Cloud VPN. Cependant, les règles de pare-feu Google Cloud ne s'appliquent pas aux paquets IPSec post-encapsulés qui sont envoyés depuis une passerelle Cloud VPN vers une passerelle VPN de pairs.

Pour en savoir plus sur les règles de pare-feu Google Cloud, consultez la page Présentation des règles de pare-feu VPC.

Exemples de configurations

Pour obtenir des exemples de restriction du trafic entrant ou sortant, consultez les exemples de configuration dans la documentation VPC.

L'exemple suivant crée une règle de pare-feu entrée autorisée. Cette règle autorise tout le trafic TCP, UDP et ICMP provenant du CIDR de votre réseau pair vers les machines virtuelles de votre réseau VPC.

Console

  1. Dans la console Google Cloud, accédez à la page Tunnels VPN.

    Accéder à la page des tunnels VPN

  2. Cliquez sur le tunnel VPN que vous souhaitez utiliser.

  3. Dans la section Passerelle VPN, cliquez sur le nom du réseau VPC. Vous êtes dirigé vers la page Détails du réseau VPC contenant le tunnel.

  4. Cliquez sur l'onglet Règles de pare-feu.

  5. Cliquez sur Ajouter une règle de pare-feu. Ajoutez une règle pour TCP, UDP et ICMP.

    • Nom : saisissez allow-tcp-udp-icmp.
    • Filtre source : sélectionnez Plages d'adresses IPv4.
    • Plages d'adresses IP sources : saisissez la valeur de la plage d'adresses IP du réseau distant définie lors de la création du tunnel. Si vous disposez de plusieurs plages pour le réseau de pairs, saisissez chacune d'entre elles. Appuyez sur la touche Tabulation entre les entrées. Pour autoriser le trafic provenant de toutes les adresses IPv4 sources de votre réseau de pairs, spécifiez 0.0.0.0/0.
    • Protocoles ou ports spécifiés : sélectionnez tcp et udp.
    • Autres protocoles : saisissez icmp.
    • Tags cibles : un ou plusieurs tags valides.
  6. Cliquez sur Créer.

Si vous devez autoriser l'accès aux adresses IPv6 sur votre réseau VPC à partir de votre réseau de pairs, ajoutez une règle de pare-feu allow-ipv6-tcp-udp-icmpv6.

  1. Cliquez sur Ajouter une règle de pare-feu. Ajoutez une règle pour TCP, UDP et ICMPv6 :
    • Nom : saisissez allow-ipv6-tcp-udp-icmpv6.
    • Filtre source : sélectionnez Plages d'adresses IPv6.
    • Plages d'adresses IP sources : saisissez la valeur de la plage d'adresses IP du réseau distant définie lors de la création du tunnel. Si vous disposez de plusieurs plages pour le réseau de pairs, saisissez chacune d'entre elles. Appuyez sur la touche Tabulation entre les entrées. Pour autoriser le trafic provenant de toutes les adresses IPv6 sources de votre réseau de pairs, spécifiez ::/0.
    • Protocoles ou ports spécifiés : sélectionnez tcp et udp.
    • Autres protocoles : saisissez 58. 58 est le numéro de protocole ICMPv6.
    • Tags cibles : un ou plusieurs tags valides.
  2. Cliquez sur Créer.

Créez d'autres règles de pare-feu si nécessaire.

Vous pouvez également créer des règles depuis la page Pare-feu de Google Cloud Console.

gcloud

Exécutez la commande suivante :

gcloud  compute --project PROJECT_ID firewall-rules create allow-tcp-udp-icmp \
    --network NETWORK \
    --allow tcp,udp,icmp \
    --source-ranges IPV4_PEER_SOURCE_RANGE

Remplacez IPV4_PEER_SOURCE_RANGE par les plages IPv4 sources de votre réseau de pairs.

Si vous disposez de plusieurs plages d'adresses pour votre réseau pair, introduisez une liste dans le champ de plages sources, en séparant les éléments par des virgules (--source-ranges 192.168.1.0/24,192.168.2.0/24).

Pour autoriser le trafic provenant de toutes les adresses IPv4 sources de votre réseau de pairs, spécifiez 0.0.0.0/0.

Règles de pare-feu IPv6

Si vous devez autoriser l'accès aux adresses IPv6 sur votre réseau VPC à partir de votre réseau de pairs, ajoutez une règle de pare-feu allow-ipv6-tcp-udp-icmpv6.

gcloud  compute --project PROJECT_ID firewall-rules create allow-ipv6-tcp-udp-icmpv6 \
    --network NETWORK \
    --allow tcp,udp,58 \
    --source-ranges IPV6_PEER_SOURCE_RANGE

58 est le numéro de protocole ICMPv6.

Remplacez PEER_SOURCE_RANGE par les plages IPv6 sources du réseau de pairs. Si vous disposez de plusieurs plages d'adresses pour votre réseau pair, introduisez une liste dans le champ de plages sources, en séparant les éléments par des virgules (--source-ranges 2001:db8:aa::/64,2001:db8:bb::/64).

Pour autoriser le trafic provenant de toutes les adresses IPv6 sources de votre réseau de pairs, spécifiez ::/0.

Autres règles de pare-feu

Créez d'autres règles de pare-feu si nécessaire.

Pour plus d'informations sur la commande firewall-rules, consultez la documentation sur les règles de pare-feu gcloud.

Règles de pare-feu de pairs

Lors de la configuration de vos règles de pare-feu de pairs, tenez compte des points ci-dessous :

  • Vous devez configurer des règles pour autoriser le trafic sortant et entrant vers et depuis les plages d'adresses IP utilisées par les sous-réseaux de votre réseau VPC.
  • Vous pouvez choisir d'autoriser tous les protocoles et ports, ou bien de limiter le trafic à l'ensemble de protocoles et de ports requis pour répondre à vos besoins.
  • Autorisez le trafic ICMP si vous devez utiliser ping pour pouvoir communiquer entre les systèmes de pairs et les instances ou les ressources de Google Cloud.
  • Si vous devez accéder aux adresses IPv6 du réseau pair avec ping, autorisez ICMPv6 (protocole IP 58) dans votre pare-feu de pairs.
  • Vos appareils réseau (par exemple, dispositifs de sécurité, pare-feu, commutateurs, routeurs et passerelles) et des logiciels s'exécutant sur vos systèmes (tels qu'un logiciel de pare-feu inclus dans un système d'exploitation) peuvent mettre en œuvre un pare-feu sur site. Pour autoriser le trafic, configurez toutes les règles de pare-feu sur le chemin d'accès à votre réseau VPC de manière appropriée.
  • Si votre tunnel VPN utilise le routage dynamique (BGP), veillez à autoriser le trafic BGP pour les adresses IP de liaison locale. Pour plus de détails, consultez la section suivante.

Considérations relatives à BGP pour les passerelles de pairs

Dans le cas du routage dynamique (BGP), des informations de routage sont échangées via le port TCP 179. Certaines passerelles VPN, y compris les passerelles Cloud VPN, autorisent automatiquement ce trafic lorsque vous choisissez le routage dynamique. Si ce n'est pas le cas de votre passerelle VPN de pairs, vous devez la configurer de sorte à autoriser le trafic entrant et sortant sur le port TCP 179. Toutes les adresses IP BGP utilisent le bloc CIDR 169.254.0.0/16 de liaison locale.

Si votre passerelle VPN de pairs n'est pas directement connectée à Internet, assurez-vous que celle-ci, ainsi que les routeurs pairs, les règles de pare-feu et les systèmes de sécurité sont configurés pour transmettre au moins le trafic BGP (port TCP 179) et le trafic ICMP à votre passerelle VPN. Le trafic ICMP n'est pas indispensable, mais s'avère utile pour tester la connectivité entre un routeur Cloud Router et votre passerelle VPN. La plage d'adresses IP à laquelle votre règle de pare-feu de pairs doit s'appliquer doit inclure les adresses IP BGP du routeur Cloud Router et de votre passerelle.

Étape suivante

  • Pour vous assurer que les composants communiquent correctement avec Cloud VPN, consultez la section Vérifier l'état du VPN.
  • Pour utiliser des scénarios à haute disponibilité et à haut débit, ou des scénarios à plusieurs sous-réseaux, consultez la section Configurations avancées.
  • Pour vous aider à résoudre les problèmes courants que vous pouvez rencontrer lors de l'utilisation de Cloud VPN, consultez la page Dépannage.