デフォルトでは、Google Cloudロードバランサーは多くのポートを不必要に公開しているようです。80/443のみを公開する方法が見つかりませんでした。ロードバランサーの1つを作成するたびに、nmapに次のポートが表示されます。
PORT STATE SERVICE
25/tcp open smtp
80/tcp open http
110/tcp open pop3
143/tcp open imap
443/tcp open https
465/tcp open smtps
587/tcp open submission
993/tcp open imaps
995/tcp open pop3s
1720/tcp open H.323/Q.931
8080/tcp open http-proxy
25、465、587、993、995をブロックする方法はありますか? この質問は、ファイアウォールではなくGCPロードバランサに関するものであることに注意してください。
回答:
denyGCファイアウォールにルールを追加することはできません。デフォルトのポリシーはDenyです。追加できるのはallowルールのみです。必要なものはすべて許可し、それ以外はすべて拒否してください。
ブロックする必要のあるポートはデフォルトで許可されているので、削除するだけです。デフォルトのルールの名前を確認します。
gcloud compute firewall-rules list [NAME …] [--regexp=REGEXP, -r REGEXP] [--filter=EXPRESSION] [--limit=LIMIT] [--page-size=PAGE_SIZE] [--sort-by=[FIELD,…]] [--uri] [GLOBAL-FLAG …]
そしてそれを削除します:
gcloud compute firewall-rules delete NAME [NAME …] [GLOBAL-FLAG …]
Google Cloudファイアウォールの処理方法の詳細については、こちらをご覧ください。
現在、AWS ELBのように使用されるGCPロードバランサーのポートとプロトコルを制限することはできません。これは機能のリクエストです。https://issuetracker.google.com/issues/35904903
私もそれを探しましたが、これらはGoogleがLBを行うために使用するポートであるため、あなたができるとは思いません:
HTTP要求は、ポート80またはポート8080に基づいて負荷分散できます。HTTPS要求は、ポート443で負荷分散できます。
TCPプロキシ負荷分散は、次のポートをサポートしています:25、43、110、143、195、443、465、587、700、993、995、1883、5222
情報:https : //cloud.google.com/load-balancing/docs/https#open_ports
ポートを開く外部HTTP(S)ロードバランサーは、リバースプロキシロードバランサーです。ロードバランサーは着信接続を終了し、ロードバランサーからバックエンドへの新しい接続を開きます。リバースプロキシ機能は、Googleフロントエンド(GFE)によって提供されます。
設定したファイアウォールルールは、GFEからバックエンドへのトラフィックをブロックしますが、GFEへの受信トラフィックをブロックしません。
外部HTTP(S)ロードバランサには、同じアーキテクチャで実行される他のGoogleサービスをサポートするための多数のオープンポートがあります。Google Cloud外部HTTP(S)ロードバランサの外部IPアドレスに対してセキュリティまたはポートスキャンを実行すると、追加のポートが開いているように見えます。
これは、外部HTTP(S)ロードバランサーには影響しません。外部HTTP(S)ロードバランサーの定義で使用される外部転送ルールは、TCPポート80、8080、および443のみを参照できます。異なるTCP宛先ポートを持つトラフィックは、ロードバランサーのバックエンドに転送されません。