Suport pentru firewall GCP și adrese IPv6?

sirkus7

26.11.2022, 17:51

Deși documentația GCP susține că adresele IPv6 sunt acceptate atunci când se realizează reguli de firewall (https://cloud.google.com/vpc/docs/firewalls) Se pare că nu pot să fac asta. Din acest document:

Regulile firewall acceptă conexiuni IPv4. Conexiunile IPv6 sunt acceptate și în rețelele VPC care au IPv6 activat. Când se specifică a sursă pentru o regulă de intrare sau o destinație pentru o regulă de ieșire de adresa, puteți specifica adrese sau blocuri IPv4 sau IPv6 în CIDR notaţie.

Fiecare regulă de firewall poate conține intervale IPv4 sau IPv6, dar nu ambele.

Cu toate acestea, când încerc să creez o regulă de firewall cu o adresă IPv6, primesc o eroare și nu mă lasă să o salvez, așa cum se arată în captura de ecran de mai jos.

Exemplul de mai sus arată două exemple pe care le-am încercat, dar l-am încercat cu adrese unice, cu și fără blocuri CIDR și așa mai departe. Și toți sunt refuzați. Am confirmat că subrețeaua VPC are IPv6 activat.

Am pierdut ceva?

228

1 + 1

ipv6

google-cloud-platform

sirkus7

26.11.2022, 18:18

Am creat o subrețea în „us-west2” cu „--stack-type=IPV4_IPV6”, așa cum este indicat în documentele GCP. Încerc să creez reguli pentru această subrețea.

Răspunde

Puncte:2

Server

Michael Hampton

26.11.2022, 18:21

Nici GUI nu funcționează pentru mine, dar am reușit să creez cu succes regulile de firewall cu o comandă echivalentă gcloud.

Pentru a testa, am creat un nou VPC, o nouă subrețea și o nouă regulă pentru firewall:

error@cloudshell:~ (strange-passage-193919)$ rețelele de calcul gcloud creează ipv6test --project=strange-passage-193919 --subnet-mode=custom --mtu=1460 --bgp-routing-mode=regional
Creat [https://www.googleapis.com/compute/v1/projects/strange-passage-193919/global/networks/ipv6test].
NUME SUBNET_MODE BGP_ROUTING_MODE IPV4_RANGE GATEWAY_IPV4
ipv6test CUSTOM REGIONAL

Instanțele din această rețea nu vor fi accesibile până la regulile paravanului de protecție
sunt create. De exemplu, puteți permite tot traficul intern între
instanțe, precum și SSH, RDP și ICMP prin rularea:

$ gcloud compute firewall-rules create <FIREWALL_NAME> --network ipv6test --allow tcp,udp,icmp --source-ranges <IP_RANGE>
$ gcloud compute firewall-rules create <FIREWALL_NAME> --network ipv6test --allow tcp:22,tcp:3389,icmp

error@cloudshell:~ (strange-passage-193919)$ gcloud compute networks subnets create ipv6test --project=strange-passage-193919 --range=10.16.0.0/20 --network=ipv6test --region=us-west2
Creat [https://www.googleapis.com/compute/v1/projects/strange-passage-193919/regions/us-west2/subnetworks/ipv6test].
NUMELE REGIUNEA NETWORK RANGE STACK_TYPE IPV6_ACCESS_TYPE IPV6_CIDR_RANGE EXTERNAL_IPV6_CIDR_RANGE
ipv6test us-west2 ipv6test 10.16.0.0/20 IPV4_ONLY
error@cloudshell:~ (strange-passage-193919)$ gcloud compute networks subnets update ipv6test --project=strange-passage-193919 --stack-type=IPV4_IPV6 --ipv6-access-type=EXTERNAL --region=us- vest2
Actualizat [https://www.googleapis.com/compute/v1/projects/strange-passage-193919/regions/us-west2/subnetworks/ipv6test].
error@cloudshell:~ (strange-passage-193919)$ gcloud compute --project=strange-passage-193919 firewall-rules create ruletest --direction=INGRESS --priority=1000 --network=ipv6test --action=ALOW - -rules=tcp:22 --source-ranges=2001:db8::/32
Se creează firewall... ¹S-a creat [https://www.googleapis.com/compute/v1/projects/strange-passage-193919/global/firewalls/ruletest].
Se creează firewall... gata.
NUME REȚEA DIRECȚIE PRIORITATE PERMITERE DEZACTIVATĂ
ruletest ipv6test INGRESS 1000 tcp:22 Fals
error@cloudshell:~ (strange-passage-193919)$

0 + 0