Apri le porte su Google Cloud Load Balancer

12

Sembra che, per impostazione predefinita, i servizi di bilanciamento del carico di Google Cloud espongano inutilmente un numero di porte. Non ho trovato il modo di esporre solo 80/443 e ogni volta che realizzo uno dei loro bilanciatori del carico, le seguenti porte sono visualizzate in una nmap:

PORT     STATE  SERVICE
25/tcp   open   smtp
80/tcp   open   http
110/tcp  open   pop3
143/tcp  open   imap
443/tcp  open   https
465/tcp  open   smtps
587/tcp  open   submission
993/tcp  open   imaps
995/tcp  open   pop3s
1720/tcp open   H.323/Q.931
8080/tcp open   http-proxy

C'è un modo per bloccare 25, 465, 587, 993 e 995? Si noti che questa domanda riguarda i bilanciatori del carico GCP, non i firewall.

security  load-balance  google-cloud-platform 
bootbeast
fonte

Risposte:

5

Non è possibile aggiungere denyregole al firewall GC. La politica di default è Deny. Puoi solo aggiungere allowregole: consenti tutto ciò di cui hai bisogno e lascia che tutto il resto venga rifiutato.

Poiché le porte che devi bloccare sono consentite per impostazione predefinita, devi semplicemente rimuoverle. Controlla il nome della regola predefinita:

gcloud compute firewall-rules list [NAME …] [--regexp=REGEXP, -r REGEXP] [--filter=EXPRESSION] [--limit=LIMIT] [--page-size=PAGE_SIZE] [--sort-by=[FIELD,…]] [--uri] [GLOBAL-FLAG …]

ed eliminalo con:

gcloud compute firewall-rules delete NAME [NAME …] [GLOBAL-FLAG …]

Puoi controllare qui per una spiegazione più dettagliata su come gestire il firewall di Google Cloud.

13dimitar
fonte
1
Fuori tema. La domanda riguarda i bilanciatori di carico GC , non i loro firewall.
Bootbeast
2

L'ho cercato anche io, ma non credo che tu possa in quanto queste sono le porte utilizzate da Google per fare LB:

Le richieste HTTP possono essere bilanciate in base al carico sulla porta 80 o 8080. Le richieste HTTPS possono essere bilanciate in base al carico sulla porta 443.

Il bilanciamento del carico proxy TCP supporta le seguenti porte: 25, 43, 110, 143, 195, 443, 465, 587, 700, 993, 995, 1883, 5222

Da: GCP HTTP (S) LB e GCP TCP LB

STM
fonte
In effetti, e come ho detto, è una richiesta di funzionalità corrente.
Bootbeast
0

informazioni da: https://cloud.google.com/load-balancing/docs/https#open_ports

Porte aperte I bilanciatori di carico HTTP (S) esterni sono bilanciatori di carico proxy inverso. Il bilanciamento del carico termina le connessioni in entrata, quindi apre le nuove connessioni dal bilanciamento del carico ai back-end. La funzionalità di proxy inverso è fornita da Google Front End (GFE).

Le regole del firewall impostate bloccano il traffico dai GFE ai back-end, ma non bloccano il traffico in entrata ai GFE.

I servizi di bilanciamento del carico HTTP (S) esterni dispongono di una serie di porte aperte per supportare altri servizi Google eseguiti sulla stessa architettura. Se esegui una scansione di sicurezza o delle porte sull'indirizzo IP esterno di un bilanciamento del carico HTTP (S) esterno di Google Cloud, le porte aggiuntive sembrano essere aperte.

Ciò non influisce sui bilanciatori di carico HTTP (S) esterni. Le regole di inoltro esterno, utilizzate nella definizione di un bilanciamento del carico HTTP (S) esterno, possono fare riferimento solo alle porte TCP 80, 8080 e 443. Il traffico con una porta di destinazione TCP diversa non viene inoltrato al back-end del bilanciamento del carico.

user19467
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.