Google Cloud Load Balancer'da Açık Portlar

Görünüşe göre, Google Cloud yük dengeleyicileri birkaç bağlantı noktasını gereksiz yere açığa çıkarır. Sadece 80/443'ü açığa çıkarmanın bir yolunu bulamadım ve yük dengeleyicilerinden birini her yaptığımda, aşağıdaki bağlantı noktaları bir nmap'de görülür:

PORT     STATE  SERVICE
25/tcp   open   smtp
80/tcp   open   http
110/tcp  open   pop3
143/tcp  open   imap
443/tcp  open   https
465/tcp  open   smtps
587/tcp  open   submission
993/tcp  open   imaps
995/tcp  open   pop3s
1720/tcp open   H.323/Q.931
8080/tcp open   http-proxy

25, 465, 587, 993 ve 995'i engellemenin bir yolu var mı? Bu sorunun güvenlik duvarları değil, GCP yük dengeleyicileri olduğunu unutmayın.

denyGC güvenlik duvarına kural ekleyemezsiniz . Varsayılan politika Deny. Yalnızca allowkurallar ekleyebilirsiniz - ihtiyacınız olan her şeye izin verin ve diğer her şeyin reddedilmesine izin verin.

Engellemeniz gereken bağlantı noktalarına varsayılan olarak izin verildiğinden, bunları kaldırmanız yeterlidir. Varsayılan kuralın adını kontrol edin:

gcloud compute firewall-rules list [NAME …] [--regexp=REGEXP, -r REGEXP] [--filter=EXPRESSION] [--limit=LIMIT] [--page-size=PAGE_SIZE] [--sort-by=[FIELD,…]] [--uri] [GLOBAL-FLAG …]

ve şununla sil:

gcloud compute firewall-rules delete NAME [NAME …] [GLOBAL-FLAG …]

Google Cloud güvenlik duvarının nasıl ele alınacağıyla ilgili daha ayrıntılı açıklama için burayı kontrol edebilirsiniz .

Bir GCP yük dengeleyicisinin bağlantı noktalarını ve AWS ELB ile yapabileceğiniz gibi kullanılan protokolleri kısıtlamak şu anda mümkün değildir. Bu bir özellik isteğidir. https://issuetracker.google.com/issues/35904903

Ben de aradım ama Google tarafından LB yapmak için kullanılan bağlantı noktaları olduğu için yapabileceğinizi sanmıyorum:

HTTP istekleri, bağlantı noktası 80 veya bağlantı noktası 8080'e dayalı olarak yük dengelenebilir. HTTPS istekleri, bağlantı noktası 443'te yük dengeli olabilir.

TCP Proxy Yük Dengeleme aşağıdaki bağlantı noktalarını destekler: 25, 43, 110, 143, 195, 443, 465, 587, 700, 993, 995, 1883, 5222

Gönderen: GCP HTTP (S) LB ve GCP TCP LB

bilgi: https://cloud.google.com/load-balancing/docs/https#open_ports

Açık portlar Harici HTTP (S) yük dengeleyicileri, ters proxy yük dengeleyicileridir. Yük dengeleyici gelen bağlantıları sonlandırır ve yük dengeleyiciden arka uçlara yeni bağlantılar açar. Ters proxy işlevi Google Ön Uçlar (GFE'ler) tarafından sağlanır.

Güvenlik duvarı, GFE'lerden arka uçlara giden blok trafiğini ayarladığınız, ancak GFE'lere gelen trafiği engellediğiniz kurallar.

Harici HTTP (S) yük dengeleyicileri, aynı mimari üzerinde çalışan diğer Google hizmetlerini desteklemek için bir dizi açık bağlantı noktasına sahiptir. Bir Google Cloud harici HTTP (S) yük dengeleyicisinin harici IP adresine karşı güvenlik veya bağlantı noktası taraması yaparsanız, ek bağlantı noktaları açık gibi görünür.

Bu harici HTTP (S) yük dengeleyicilerini etkilemez. Harici bir HTTP (S) yük dengeleyici tanımında kullanılan harici yönlendirme kuralları yalnızca 80, 8080 ve 443 numaralı TCP bağlantı noktalarına başvurabilir. Farklı TCP hedef bağlantı noktasına sahip trafik, yük dengeleyicinin arka ucuna yönlendirilmez.