Mở cổng trên Google Cloud Load Balancer

Dường như theo mặc định, bộ cân bằng tải Google Cloud lộ ra một số cổng không cần thiết. Tôi chưa tìm thấy cách nào chỉ hiển thị 80/443 và mỗi khi tôi tạo một trong các bộ cân bằng tải của họ, các cổng sau được nhìn thấy trong một sơ đồ:

PORT     STATE  SERVICE
25/tcp   open   smtp
80/tcp   open   http
110/tcp  open   pop3
143/tcp  open   imap
443/tcp  open   https
465/tcp  open   smtps
587/tcp  open   submission
993/tcp  open   imaps
995/tcp  open   pop3s
1720/tcp open   H.323/Q.931
8080/tcp open   http-proxy

Có cách nào để chặn 25, 465, 587, 993 & 995 không? Lưu ý rằng câu hỏi này là bộ cân bằng tải GCP, không phải tường lửa.

Bạn không thể thêm denyquy tắc vào tường lửa GC. Chính sách mặc định là Deny. Bạn chỉ có thể thêm allowcác quy tắc - cho phép mọi thứ bạn cần và để mọi thứ khác bị từ chối.

Vì các cổng bạn cần chặn được cho phép theo mặc định, bạn chỉ cần xóa chúng. Kiểm tra tên của quy tắc mặc định:

gcloud compute firewall-rules list [NAME …] [--regexp=REGEXP, -r REGEXP] [--filter=EXPRESSION] [--limit=LIMIT] [--page-size=PAGE_SIZE] [--sort-by=[FIELD,…]] [--uri] [GLOBAL-FLAG …]

và xóa nó bằng:

gcloud compute firewall-rules delete NAME [NAME …] [GLOBAL-FLAG …]

Bạn có thể kiểm tra ở đây để được giải thích chi tiết hơn về cách xử lý tường lửa Google Cloud.

Hiện tại không thể hạn chế các cổng và giao thức của bộ cân bằng tải GCP được sử dụng như bạn có thể với ELS ELB. Đây là một yêu cầu tính năng. https://issuetracker.google.com/issues/35904903

Tôi cũng đã tìm kiếm điều đó nhưng tôi không nghĩ bạn có thể vì đây là các cổng được Google sử dụng để thực hiện LB:

Yêu cầu HTTP có thể được cân bằng tải dựa trên cổng 80 hoặc cổng 8080. Yêu cầu HTTPS có thể được cân bằng tải trên cổng 443.

Cân bằng tải TCP Proxy hỗ trợ các cổng sau: 25, 43, 110, 143, 195, 443, 465, 587, 700, 993, 995, 1883, 5222

Từ: GCP HTTP (S) LB và GCP TCP LB

thông tin từ: https://cloud.google.com/load-balANCE/docs/https#open_ports

Cổng mở Các bộ cân bằng tải HTTP (S) bên ngoài là bộ cân bằng tải proxy ngược. Bộ cân bằng tải chấm dứt các kết nối đến, và sau đó mở các kết nối mới từ bộ cân bằng tải đến các phụ trợ. Chức năng proxy ngược được cung cấp bởi Google Front Ends (GFEs).

Các quy tắc tường lửa mà bạn đặt lưu lượng truy cập từ GFE đến các phụ trợ, nhưng không chặn lưu lượng truy cập đến GFE.

Bộ cân bằng tải HTTP (S) bên ngoài có một số cổng mở để hỗ trợ các dịch vụ khác của Google chạy trên cùng một kiến ​​trúc. Nếu bạn chạy quét bảo mật hoặc quét cổng đối với địa chỉ IP bên ngoài của bộ cân bằng tải HTTP (S) bên ngoài của Google Cloud, các cổng bổ sung dường như sẽ được mở.

Điều này không ảnh hưởng đến các bộ cân bằng tải HTTP (S) bên ngoài. Các quy tắc chuyển tiếp bên ngoài, được sử dụng trong định nghĩa của bộ cân bằng tải HTTP (S) bên ngoài, chỉ có thể tham chiếu các cổng TCP 80, 8080 và 443. Lưu lượng truy cập với một cổng đích TCP khác không được chuyển tiếp đến phụ trợ của bộ cân bằng tải.