Відкрийте порти в Google Cloud Load Balancer

Схоже, що за замовчуванням балансові навантаження Google Cloud навантажують кількість портів без потреби. Я не знайшов способу викрити лише 80/443, і кожного разу, коли я роблю один з їх балансирів навантаження, наступні порти бачать у nmap:

PORT     STATE  SERVICE
25/tcp   open   smtp
80/tcp   open   http
110/tcp  open   pop3
143/tcp  open   imap
443/tcp  open   https
465/tcp  open   smtps
587/tcp  open   submission
993/tcp  open   imaps
995/tcp  open   pop3s
1720/tcp open   H.323/Q.931
8080/tcp open   http-proxy

Чи є спосіб блокувати 25, 465, 587, 993 та 995? Зауважте, що це питання стосується балансових навантажувачів GCP, а не брандмауерів.

Не можна додавати denyправила до брандмауера GC. Політикою за замовчуванням є Deny. Ви можете лише додати allowправила - дозвольте все, що вам потрібно, а все інше нехай відкидається.

Оскільки порти, які потрібно заблокувати, дозволено за замовчуванням, їх просто потрібно видалити. Перевірте ім'я правила за замовчуванням:

gcloud compute firewall-rules list [NAME …] [--regexp=REGEXP, -r REGEXP] [--filter=EXPRESSION] [--limit=LIMIT] [--page-size=PAGE_SIZE] [--sort-by=[FIELD,…]] [--uri] [GLOBAL-FLAG …]

і видаліть його за допомогою:

gcloud compute firewall-rules delete NAME [NAME …] [GLOBAL-FLAG …]

Ви можете ознайомитись тут, щоб отримати докладніші пояснення щодо обробки брандмауера Google Cloud.

Наразі неможливо обмежити порти та протоколи балансира навантаження GCP, які використовуються як AWS ELB. Це запит на функцію. https://issuetracker.google.com/isissue/35904903

Я теж це шукав, але не думаю, що ви можете, оскільки це порти, які Google використовує для роботи з LB:

HTTP-запити можуть бути збалансовані на завантаження на основі порту 80 або порту 8080. HTTPS-запити можуть бути збалансовані на завантаження на порт 443.

Балансування завантаження проксі-сервера TCP підтримує такі порти: 25, 43, 110, 143, 195, 443, 465, 587, 700, 993, 995, 1883, 5222

Від: GCP HTTP (S) LB та GCP TCP LB

інформація від: https://cloud.google.com/load-balancing/docs/https#open_ports

Відкриті порти Зовнішні балансири навантаження HTTP (S) - це зворотні балансири навантаження проксі. Балансир навантаження припиняє вхідні з'єднання, а потім відкриває нові з'єднання від балансира навантаження до пробілу. Функція зворотного проксі-сервера надається Google Front Ends (GFE).

Правила брандмауера, за допомогою яких ви встановлюєте блокування трафіку від GFE до програмного забезпечення, але не блокуйте вхідний трафік до GFE.

Зовнішні балансири завантаження HTTP (S) мають ряд відкритих портів для підтримки інших служб Google, які працюють за тією ж архітектурою. Якщо ви запустили захист або сканування портів щодо зовнішньої IP-адреси зовнішнього балансира завантаження HTTP (S) Google Cloud, з'являються додаткові порти.

Це не впливає на зовнішні балансири навантаження HTTP (S). Зовнішні правила переадресації, які використовуються у визначенні зовнішнього балансира навантаження HTTP (S), можуть посилатися лише на порти TCP 80, 8080 та 443. Трафік з іншого порту призначення TCP не пересилається до резервного пакета балансування навантаження.