Buka Port di Google Cloud Load Balancer

12

Tampaknya secara default, penyeimbang beban Google Cloud mengekspos sejumlah port yang tidak perlu. Saya belum menemukan cara untuk mengekspos hanya 80/443 dan setiap kali saya membuat salah satu penyeimbang beban, port berikut terlihat dalam nmap:

PORT     STATE  SERVICE
25/tcp   open   smtp
80/tcp   open   http
110/tcp  open   pop3
143/tcp  open   imap
443/tcp  open   https
465/tcp  open   smtps
587/tcp  open   submission
993/tcp  open   imaps
995/tcp  open   pop3s
1720/tcp open   H.323/Q.931
8080/tcp open   http-proxy

Apakah ada cara untuk memblokir 25, 465, 587, 993 & 995? Perhatikan bahwa pertanyaan ini tentang penyeimbang beban GCP, bukan firewall.

bootbeast
sumber

Jawaban:

5

Anda tidak dapat menambahkan denyaturan ke firewall GC. Kebijakan standarnya adalah Deny. Anda hanya dapat menambahkan allowaturan - izinkan semua yang Anda butuhkan dan biarkan yang lainnya ditolak.

Karena port yang Anda perlu blokir diizinkan secara default, Anda hanya perlu menghapusnya. Periksa nama aturan default:

gcloud compute firewall-rules list [NAME …] [--regexp=REGEXP, -r REGEXP] [--filter=EXPRESSION] [--limit=LIMIT] [--page-size=PAGE_SIZE] [--sort-by=[FIELD,…]] [--uri] [GLOBAL-FLAG …]

dan hapus dengan:

gcloud compute firewall-rules delete NAME [NAME …] [GLOBAL-FLAG …]

Anda dapat memeriksa di sini untuk penjelasan lebih rinci tentang cara menangani firewall Google Cloud.

13ditarik
sumber
1
Keluar topik. Pertanyaannya adalah tentang penyeimbang beban GC , bukan firewall mereka.
bootbeast
3

Saat ini tidak dimungkinkan untuk membatasi port dan protokol penyeimbang beban GCP yang digunakan seperti yang Anda bisa dengan AWS ELB. Ini adalah permintaan fitur. https://issuetracker.google.com/issues/35904903

bootbeast
sumber
2

Saya mencari itu juga tetapi saya tidak berpikir Anda bisa karena ini adalah port yang digunakan oleh Google untuk melakukan LB:

Permintaan HTTP dapat dimuat seimbang berdasarkan port 80 atau port 8080. Permintaan HTTPS dapat dimuat seimbang di port 443.

TCP Proxy Load Balancing mendukung port berikut: 25, 43, 110, 143, 195, 443, 465, 587, 700, 993, 995, 1883, 5222

Dari: GCP HTTP (S) LB dan GCP TCP LB

STM
sumber
Memang, dan seperti yang saya katakan, ini adalah permintaan fitur saat ini.
bootbeast
0

info dari: https://cloud.google.com/load-balancing/docs/https#open_ports

Buka port Penyeimbang beban HTTP (S) eksternal adalah penyeimbang beban proksi terbalik. Load balancer mengakhiri koneksi yang masuk, dan kemudian membuka koneksi baru dari load balancer ke backend. Fungsionalitas proxy terbalik disediakan oleh Google Front Ends (GFEs).

Aturan firewall yang Anda tetapkan lalu lintas blok dari GFE ke backend, tetapi jangan memblokir lalu lintas masuk ke GFE.

Load balancers HTTP (S) eksternal memiliki sejumlah port terbuka untuk mendukung layanan Google lainnya yang berjalan pada arsitektur yang sama. Jika Anda menjalankan keamanan atau pemindaian port terhadap alamat IP eksternal penyeimbang beban HTTP (S) eksternal Google Cloud, port tambahan tampaknya terbuka.

Ini tidak mempengaruhi penyeimbang muatan HTTP (S) eksternal. Aturan penerusan eksternal, yang digunakan dalam definisi penyeimbang muatan HTTP (S) eksternal, hanya dapat mereferensikan port TCP 80, 8080, dan 443. Lalu lintas dengan port tujuan TCP berbeda tidak diteruskan ke backend load balancer.

pengguna19467
sumber