Otwórz porty w Google Cloud Load Balancer

12

Wygląda na to, że domyślnie moduły równoważenia obciążenia Google Cloud ujawniają szereg portów niepotrzebnie. Nie znalazłem sposobu na wyeksponowanie tylko 80/443 i za każdym razem, gdy tworzę jeden z ich równoważników obciążenia, następujące porty są widoczne w nmap:

PORT     STATE  SERVICE
25/tcp   open   smtp
80/tcp   open   http
110/tcp  open   pop3
143/tcp  open   imap
443/tcp  open   https
465/tcp  open   smtps
587/tcp  open   submission
993/tcp  open   imaps
995/tcp  open   pop3s
1720/tcp open   H.323/Q.931
8080/tcp open   http-proxy

Czy istnieje sposób na zablokowanie 25, 465, 587, 993 i 995? Pamiętaj, że to pytanie dotyczy równoważenia obciążenia GCP, a nie zapór ogniowych.

security load-balance google-cloud-platform bootbeast
źródło

Odpowiedzi:

5

Nie można dodawać denyreguł do zapory sieciowej GC. Domyślna zasada to Deny. Możesz tylko dodawać allowreguły - zezwalaj na wszystko, czego potrzebujesz, a wszystko inne może zostać odrzucone.

Ponieważ porty, które należy zablokować, są domyślnie dozwolone, wystarczy je usunąć. Sprawdź nazwę reguły domyślnej:

gcloud compute firewall-rules list [NAME …] [--regexp=REGEXP, -r REGEXP] [--filter=EXPRESSION] [--limit=LIMIT] [--page-size=PAGE_SIZE] [--sort-by=[FIELD,…]] [--uri] [GLOBAL-FLAG …]

i usuń go za pomocą:

gcloud compute firewall-rules delete NAME [NAME …] [GLOBAL-FLAG …]

Możesz sprawdzić tutaj, aby uzyskać bardziej szczegółowe wyjaśnienia dotyczące obsługi zapory Google Cloud.

13dimitar
źródło
1
Poza tematem. Pytanie dotyczy równoważników obciążenia GC , a nie ich zapór ogniowych.
bootbeast
3

Obecnie nie jest możliwe ograniczenie portów i protokołów modułu równoważenia obciążenia GCP używanych tak jak w przypadku ELB AWS. To jest żądanie funkcji. https://issuetracker.google.com/issues/35904903

bootbeast
źródło
2

Też tego szukałem, ale nie sądzę, że możesz, ponieważ są to porty używane przez Google do wykonywania LB:

Żądania HTTP mogą być równoważone obciążeniem na podstawie portu 80 lub 8080. Żądania HTTPS mogą być równoważone obciążeniem na porcie 443.

Równoważenie obciążenia proxy TCP obsługuje następujące porty: 25, 43, 110, 143, 195, 443, 465, 587, 700, 993, 995, 1883, 5222

Od: GCP HTTP (S) LB i GCP TCP LB

STM
źródło
Rzeczywiście, jak powiedziałem, jest to aktualne żądanie funkcji.
bootbeast
0

informacje z: https://cloud.google.com/load-balancing/docs/https#open_ports

Otwarte porty Zewnętrzne moduły równoważące obciążenie HTTP (S) to równoważące obciążenie odwrotne proxy. Moduł równoważenia obciążenia kończy połączenia przychodzące, a następnie otwiera nowe połączenia z modułu równoważenia obciążenia do backendów. Funkcję odwrotnego proxy zapewnia Google Front End (GFE).

Reguły zapory, które ustawiają blokują ruch z GFE do backendów, ale nie blokują ruchu przychodzącego do GFE.

Zewnętrzne moduły równoważące obciążenie HTTP (S) mają wiele otwartych portów do obsługi innych usług Google działających w tej samej architekturze. Jeśli uruchomisz skanowanie zabezpieczeń lub portów w odniesieniu do zewnętrznego adresu IP modułu równoważenia obciążenia zewnętrznego Google Cloud (S) Google Cloud, dodatkowe porty wydają się być otwarte.

Nie wpływa to na zewnętrzne moduły równoważące obciążenie HTTP (S). Zewnętrzne reguły przekazywania, które są używane w definicji zewnętrznego modułu równoważenia obciążenia HTTP (S), mogą odnosić się tylko do portów TCP 80, 8080 i 443. Ruch z innym portem docelowym TCP nie jest przekazywany do zaplecza modułu równoważenia obciążenia.

użytkownik19467
źródło