기본적으로 Google Cloud로드 밸런서는 많은 포트를 불필요하게 노출합니다. 80/443 만 노출하는 방법을 찾지 못했으며로드 밸런서 중 하나를 만들 때마다 다음 포트가 nmap에 표시됩니다.
PORT STATE SERVICE
25/tcp open smtp
80/tcp open http
110/tcp open pop3
143/tcp open imap
443/tcp open https
465/tcp open smtps
587/tcp open submission
993/tcp open imaps
995/tcp open pop3s
1720/tcp open H.323/Q.931
8080/tcp open http-proxy
25, 465, 587, 993 & 995를 차단하는 방법이 있습니까? 이 질문은 방화벽이 아닌 GCP로드 밸런서에 관한 것입니다.
답변:
denyGC 방화벽에는 규칙을 추가 할 수 없습니다 . 기본 정책은 Deny입니다. allow규칙 만 추가 할 수 있습니다. 필요한 모든 것을 허용하고 다른 모든 것은 거부하십시오.
차단해야하는 포트는 기본적으로 허용되므로 간단히 제거하면됩니다. 기본 규칙의 이름을 확인하십시오.
gcloud compute firewall-rules list [NAME …] [--regexp=REGEXP, -r REGEXP] [--filter=EXPRESSION] [--limit=LIMIT] [--page-size=PAGE_SIZE] [--sort-by=[FIELD,…]] [--uri] [GLOBAL-FLAG …]
다음을 사용하여 삭제하십시오.
gcloud compute firewall-rules delete NAME [NAME …] [GLOBAL-FLAG …]
당신은 확인할 수 있습니다 여기에 Google 클라우드 방화벽을 처리하는 방법에 대한 자세한 설명.
현재 AWS ELB에서와 같이 사용되는 GCP로드 밸런서 포트 및 프로토콜을 제한 할 수 없습니다. 기능 요청입니다. https://issuetracker.google.com/issues/35904903
나도 그것을 찾았지만 LB를 수행하기 위해 Google에서 사용하는 포트이기 때문에 당신이 할 수 있다고 생각하지 않습니다.
HTTP 요청은 포트 80 또는 포트 8080에 따라로드 밸런싱 될 수 있습니다. HTTPS 요청은 포트 443에서로드 밸런싱 될 수 있습니다.
TCP 프록시로드 균형 조정은 25, 43, 110, 143, 195, 443, 465, 587, 700, 993, 995, 1883, 5222 포트를 지원합니다.
보낸 사람 : GCP HTTP (S) LB 및 GCP TCP LB
https://cloud.google.com/load-balancing/docs/https#open_ports의 정보
열린 포트 외부 HTTP (S)로드 밸런서는 리버스 프록시로드 밸런서입니다. 로드 밸런서는 들어오는 연결을 종료 한 다음로드 밸런서에서 백엔드로 새로운 연결을 엽니 다. 리버스 프록시 기능은 Google 프론트 엔드 (GFE)에서 제공합니다.
설정 한 방화벽 규칙은 GFE에서 백엔드로가는 트래픽을 차단하지만 GFE로 들어오는 트래픽은 차단하지 않습니다.
외부 HTTP (S)로드 밸런서에는 동일한 아키텍처에서 실행되는 다른 Google 서비스를 지원하기 위해 여러 개의 열린 포트가 있습니다. Google Cloud 외부 HTTP (S)로드 밸런서의 외부 IP 주소에 대해 보안 또는 포트 스캔을 실행하면 추가 포트가 열린 것으로 나타납니다.
외부 HTTP (S)로드 밸런서에는 영향을 미치지 않습니다. 외부 HTTP (S)로드 밸런서 정의에 사용되는 외부 전달 규칙은 TCP 포트 80, 8080 및 443 만 참조 할 수 있습니다. 다른 TCP 대상 포트가있는 트래픽은로드 밸런서의 백엔드로 전달되지 않습니다.