เปิดพอร์ตบน Google Cloud Load Balancer

12

ดูเหมือนว่าตามค่าเริ่มต้นตัวโหลดบาลานซ์ของ Google Cloud จะเปิดเผยพอร์ตจำนวนหนึ่งโดยไม่จำเป็น ฉันไม่พบวิธีที่จะเปิดเผยเพียง 80/443 และทุกครั้งที่ฉันทำหนึ่งใน balancer โหลดของพวกเขาพอร์ตต่อไปนี้จะเห็นใน nmap:

PORT     STATE  SERVICE
25/tcp   open   smtp
80/tcp   open   http
110/tcp  open   pop3
143/tcp  open   imap
443/tcp  open   https
465/tcp  open   smtps
587/tcp  open   submission
993/tcp  open   imaps
995/tcp  open   pop3s
1720/tcp open   H.323/Q.931
8080/tcp open   http-proxy

มีวิธีบล็อก 25, 465, 587, 993 & 995 หรือไม่? โปรดทราบว่าคำถามนี้เกี่ยวกับตัวโหลดบาลานซ์ GCP ไม่ใช่ไฟร์วอลล์

security load-balance google-cloud-platform

— bootbeast
แหล่งที่มา

5

คุณไม่สามารถเพิ่มdenyกฎในไฟร์วอลล์ GC Denyนโยบายเริ่มต้นคือ คุณสามารถเพิ่มallowกฎได้ - อนุญาตทุกสิ่งที่คุณต้องการและให้ทุกอย่างอื่นถูกปฏิเสธ

เนื่องจากพอร์ตที่คุณต้องการบล็อกได้รับอนุญาตตามค่าเริ่มต้นคุณเพียงแค่ต้องลบออก ตรวจสอบชื่อของกฎเริ่มต้น:

gcloud compute firewall-rules list [NAME …] [--regexp=REGEXP, -r REGEXP] [--filter=EXPRESSION] [--limit=LIMIT] [--page-size=PAGE_SIZE] [--sort-by=[FIELD,…]] [--uri] [GLOBAL-FLAG …]

และลบด้วย:

gcloud compute firewall-rules delete NAME [NAME …] [GLOBAL-FLAG …]

คุณสามารถตรวจสอบที่นี่สำหรับคำอธิบายโดยละเอียดเพิ่มเติมเกี่ยวกับวิธีจัดการไฟร์วอลล์ Google Cloud

— 13dimitar
แหล่งที่มา

1

ปิดหัวข้อ คำถามเกี่ยวกับตัวโหลดบาลานซ์ของ GC ไม่ใช่ไฟร์วอลล์

— bootbeast

3

ปัจจุบันไม่สามารถ จำกัด พอร์ตและโพรโทคอลของ GCP load balancer ที่ใช้เช่นเดียวกับ AWS ELB นี่คือคำขอคุณลักษณะ https://issuetracker.google.com/issues/35904903

— bootbeast
แหล่งที่มา

2

ฉันมองหาสิ่งนั้นด้วย แต่ฉันไม่คิดว่าคุณจะทำได้เพราะเป็นพอร์ตที่ Google ใช้ในการทำ LB:

คำร้องขอ HTTP สามารถโหลดบาลานซ์ตามพอร์ต 80 หรือพอร์ต 8080 คำร้องขอ HTTPS สามารถโหลดบาลานซ์ได้ที่พอร์ต 443

TCP Proxy Load Balancing รองรับพอร์ตต่อไปนี้: 25, 43, 110, 143, 195, 443, 465, 587, 700, 993, 995, 1883, 5222

จาก: GCP HTTP (S) LBและGCP TCP LB

— STM
แหล่งที่มา

แน่นอนและอย่างที่ฉันพูดมันเป็นคำขอคุณลักษณะปัจจุบัน

— bootbeast

0

ข้อมูลจาก: https://cloud.google.com/load-balancing/docs/https#open_ports

พอร์ตที่เปิดตัวโหลดบาลานซ์ HTTP (S) ภายนอกคือตัวโหลดบาลานซ์พร็อกซีย้อนกลับ load balancer ยุติการเชื่อมต่อขาเข้าจากนั้นเปิดการเชื่อมต่อใหม่จาก load balancer ไปยังแบ็กเอนด์ ฟังก์ชันการทำงานของพร็อกซีย้อนกลับนั้นจัดทำโดย Google Front Ends (GFE)

กฎไฟร์วอลล์ที่คุณตั้งค่าบล็อกทราฟฟิกจาก GFE ให้เป็นแบ็กเอนด์ แต่อย่าปิดกั้นทราฟฟิกขาเข้าไปยัง GFE

ตัวโหลดบาลานซ์ HTTP (S) ภายนอกมีพอร์ตเปิดจำนวนหนึ่งเพื่อรองรับบริการอื่น ๆ ของ Google ที่ทำงานบนสถาปัตยกรรมเดียวกัน หากคุณเรียกใช้การรักษาความปลอดภัยหรือการสแกนพอร์ตกับที่อยู่ IP ภายนอกของตัวโหลดบาลานซ์ HTTP ภายนอกของ Google Cloud (S) พอร์ตเพิ่มเติมจะปรากฏขึ้นเพื่อเปิด

สิ่งนี้จะไม่ส่งผลต่อตัวโหลดบาลานซ์ HTTP (S) ภายนอก กฎการส่งต่อภายนอกซึ่งใช้ในคำจำกัดความของตัวโหลดบาลานซ์ HTTP (S) ภายนอกสามารถอ้างอิงพอร์ต TCP 80, 8080 และ 443 เท่านั้นการรับส่งข้อมูลที่มีพอร์ตปลายทาง TCP ที่แตกต่างกันจะไม่ถูกส่งต่อไปยังแบ็กเอนด์ของโหลดบาลานซ์

— user19467
แหล่งที่มา