Introducción: En este artículo explicamos cómo configurar reglas de firewall VPC de Google Cloud usando el tipo Ingress con filtro de destino para permitir tráfico solo a máquinas virtuales específicas dentro de la misma red. Por defecto, las instancias en una VPC personalizada no son accesibles desde internet salvo que se abran puertos mediante reglas de firewall. El filtro de destino permite que el tráfico llegue únicamente a la IP interna concreta de una VM, agregando una capa extra de control y seguridad.

Tipo de regla de firewall: Ingress con filtro de destino. Objetivo: permitir tráfico solo hacia determinada(s) VM(s) dentro de la VPC según su IP de destino. Caso de uso: exponer solo una VM al exterior mientras se mantienen otras instancias en el mismo subred bloqueadas.

Paso 1 Crear dos instancias VM: vamos a crear dos instancias VM1 y VM2 en la misma subred mysubnet1 y desplegar un servidor web nginx mediante un script de inicio. El script de arranque realiza: apt install -y telnet; apt install -y nginx; systemctl enable nginx; chmod -R 755 /var/www/html; crea un index.html que incluye el hostname, la IP interna obtenida con hostname -I y la versión de la aplicación V1. Comandos gcloud de ejemplo para crear las VMs: gcloud config set project gcpdemos; gcloud compute instances create myvm1-destination1 --zone=us-central1-a --machine-type=e2-micro --network-interface=subnet=mysubnet1 --metadata-from-file=startup-script=nginx-webserver.sh; gcloud compute instances create myvm2-destination2 --zone=us-central1-a --machine-type=e2-micro --network-interface=subnet=mysubnet1 --metadata-from-file=startup-script=nginx-webserver.sh. Observación: ambas VMs arrancan pero el tráfico HTTP en el puerto 80 fallará inicialmente porque no existe aún la regla de firewall que lo permita.

Paso 2 Crear regla de firewall con filtro de destino: vamos a permitir tráfico HTTP solo a VM1 especificando su IP interna como filtro de destino. Configuración de ejemplo: Nombre fw-ingress-80-destination-filter; Network vpc2-custom; Priority 1000; Direction Ingress; Action Allow; Targets All instances in the network; Source 0.0.0.0/0; Destination filter VM1_INTERNAL_IP/32 por ejemplo 10.225.0.6/32; Protocols/Ports TCP:80. Al aplicar esta regla el firewall permitirá conexiones entrantes desde cualquier origen pero únicamente cuando el paquete tenga como destino la IP indicada.

Paso 3 Pruebas: Para probar desde fuera usar telnet VM1_EXTERNAL_IP 80 o curl http://VM1_EXTERNAL_IP. Resultado esperado: VM1 responde correctamente y la página carga en navegador. En el caso de VM2 telnet VM2_EXTERNAL_IP 80 o curl http://VM2_EXTERNAL_IP fallará y la página no será accesible porque su IP no fue incluida en la regla de firewall.

Observación: VM1 es accesible porque su IP interna fue permitida en el filtro de destino. VM2 queda bloqueada a pesar de compartir subred con VM1 porque su IP no está en la regla.

Paso 4 Limpieza: una vez concluida la prueba eliminar recursos con: gcloud compute firewall-rules delete fw-ingress-80-destination-filter; gcloud compute instances delete myvm1-destination1 --zone=us-central1-a --delete-disks=all; gcloud compute instances delete myvm2-destination2 --zone=us-central1-a --delete-disks=all.

Analogía práctica: el filtro de destino es como un pase VIP para un asiento concreto en una sala de conciertos. Cualquiera puede intentar entrar desde la calle source igual a 0.0.0.0/0 pero el segurata solo permite sentarse en la fila A asiento 5, es decir solo la VM cuya IP fue permitida. Aunque la fila A asiento 6 esté en la misma sala, no se puede ocupar sin otro pase específico.

Sobre Q2BSTUDIO: en Q2BSTUDIO somos una empresa de desarrollo de software y aplicaciones a medida especializada en soluciones empresariales, inteligencia artificial y ciberseguridad. Diseñamos software a medida y aplicaciones a medida pensadas para integrar capacidades avanzadas como agentes IA e IA para empresas y ofrecemos servicios cloud en AWS y Azure para desplegar arquitecturas seguras y escalables. Si necesitas construir una aplicación a medida visita Desarrollo de aplicaciones y software a medida y si te interesa cómo incorporar inteligencia artificial a tus procesos empresariales conoce nuestros servicios en inteligencia artificial. También ofrecemos soluciones de ciberseguridad y pentesting, servicios inteligencia de negocio y Power BI, automatización de procesos y consultoría para agentes IA.

Palabras clave integradas: aplicaciones a medida, software a medida, inteligencia artificial, ciberseguridad, servicios cloud aws y azure, servicios inteligencia de negocio, ia para empresas, agentes IA, power bi. Resumen: las reglas de firewall de GCP pueden filtrar tráfico no solo por origen sino también por destino. El uso de filtros de destino permite exponer únicamente las VM deseadas dentro de una subred, aportando control granular y una capa adicional de seguridad en entornos con múltiples instancias.