Öffnen Sie Ports in Google Cloud Load Balancer

Es scheint, dass Google Cloud Load Balancer standardmäßig eine Reihe von Ports unnötig verfügbar machen. Ich habe keine Möglichkeit gefunden, nur 80/443 verfügbar zu machen, und jedes Mal, wenn ich einen ihrer Load Balancer erstelle, werden die folgenden Ports in einer nmap angezeigt:

PORT     STATE  SERVICE
25/tcp   open   smtp
80/tcp   open   http
110/tcp  open   pop3
143/tcp  open   imap
443/tcp  open   https
465/tcp  open   smtps
587/tcp  open   submission
993/tcp  open   imaps
995/tcp  open   pop3s
1720/tcp open   H.323/Q.931
8080/tcp open   http-proxy

Gibt es eine Möglichkeit, 25, 465, 587, 993 und 995 zu blockieren? Beachten Sie, dass es sich bei dieser Frage um GCP-Load-Balancer handelt, nicht um Firewalls.

Sie können denyder GC-Firewall keine Regeln hinzufügen . Die Standardrichtlinie ist Deny. Sie können nur allowRegeln hinzufügen - lassen Sie alles zu, was Sie brauchen, und lassen Sie alles andere abgelehnt werden.

Da die zu blockierenden Ports standardmäßig zulässig sind, müssen Sie sie nur entfernen. Überprüfen Sie den Namen der Standardregel:

gcloud compute firewall-rules list [NAME …] [--regexp=REGEXP, -r REGEXP] [--filter=EXPRESSION] [--limit=LIMIT] [--page-size=PAGE_SIZE] [--sort-by=[FIELD,…]] [--uri] [GLOBAL-FLAG …]

und löschen Sie es mit:

gcloud compute firewall-rules delete NAME [NAME …] [GLOBAL-FLAG …]

Sie können prüfen , hier für weitere detaillierte Erklärung, wie Google Cloud Firewall umgehen.

Es ist derzeit nicht möglich, die Ports und Protokolle eines GCP-Load-Balancers einzuschränken, die wie bei einem AWS ELB verwendet werden. Dies ist eine Funktionsanforderung. https://issuetracker.google.com/issues/35904903

Ich habe auch danach gesucht, aber ich glaube nicht, dass Sie das können, da dies die Ports sind, die Google für LB verwendet:

HTTP-Anforderungen können basierend auf Port 80 oder Port 8080 lastenausgeglichen werden. HTTPS-Anforderungen können auf Port 443 lastausgeglichen werden.

Der TCP-Proxy-Lastausgleich unterstützt die folgenden Ports: 25, 43, 110, 143, 195, 443, 465, 587, 700, 993, 995, 1883, 5222

Von: GCP HTTP (S) LB und GCP TCP LB

Informationen von: https://cloud.google.com/load-balancing/docs/https#open_ports

Offene Ports Die externen HTTP (S) Load Balancer sind Reverse Proxy Load Balancer. Der Load Balancer beendet eingehende Verbindungen und öffnet dann neue Verbindungen vom Load Balancer zu den Backends. Die Reverse-Proxy-Funktionalität wird von den Google Front Ends (GFEs) bereitgestellt.

Die Firewall regelt, dass Sie den Datenverkehr von den GFEs zu den Backends blockieren, den eingehenden Datenverkehr zu den GFEs jedoch nicht blockieren.

Die externen HTTP (S) -Lastausgleicher verfügen über eine Reihe offener Ports, um andere Google-Dienste zu unterstützen, die auf derselben Architektur ausgeführt werden. Wenn Sie einen Sicherheits- oder Port-Scan für die externe IP-Adresse eines externen HTTP (S) -Lastausgleichs von Google Cloud ausführen, scheinen zusätzliche Ports offen zu sein.

Dies wirkt sich nicht auf externe HTTP (S) -Lastausgleicher aus. Externe Weiterleitungsregeln, die bei der Definition eines externen HTTP (S) -Lastausgleichs verwendet werden, können nur auf die TCP-Ports 80, 8080 und 443 verweisen. Datenverkehr mit einem anderen TCP-Zielport wird nicht an das Backend des Lastausgleichs weitergeleitet.