Открытые порты в Google Cloud Balancer

Кажется, что по умолчанию балансировщики нагрузки Google Cloud выставляют несколько портов без необходимости. Я не нашел способа выставить только 80/443, и каждый раз, когда я делаю один из их балансировщиков нагрузки, в nmap отображаются следующие порты:

PORT     STATE  SERVICE
25/tcp   open   smtp
80/tcp   open   http
110/tcp  open   pop3
143/tcp  open   imap
443/tcp  open   https
465/tcp  open   smtps
587/tcp  open   submission
993/tcp  open   imaps
995/tcp  open   pop3s
1720/tcp open   H.323/Q.931
8080/tcp open   http-proxy

Есть ли способ заблокировать 25, 465, 587, 993 и 995? Обратите внимание, что этот вопрос касается балансировщиков нагрузки GCP, а не брандмауэров.

Вы не можете добавлять denyправила в брандмауэр GC. Политика по умолчанию Deny. Вы можете только добавить allowправила - разрешите все, что вам нужно, и пусть все остальное будет отклонено.

Поскольку порты, которые вам нужно заблокировать, разрешены по умолчанию, вам просто нужно удалить их. Проверьте имя правила по умолчанию:

gcloud compute firewall-rules list [NAME …] [--regexp=REGEXP, -r REGEXP] [--filter=EXPRESSION] [--limit=LIMIT] [--page-size=PAGE_SIZE] [--sort-by=[FIELD,…]] [--uri] [GLOBAL-FLAG …]

и удалите его с помощью:

gcloud compute firewall-rules delete NAME [NAME …] [GLOBAL-FLAG …]

Вы можете проверить здесь более подробное объяснение о том, как обращаться с брандмауэром Google Cloud.

В настоящее время невозможно ограничить порты и протоколы балансировки нагрузки GCP, используемые, как вы можете с AWS ELB. Это особенность запроса. https://issuetracker.google.com/issues/35904903

Я тоже это искал, но не думаю, что вы можете, поскольку эти порты используются Google для LB:

HTTP-запросы могут быть сбалансированы по нагрузке на основе порта 80 или 8080. HTTPS-запросы могут быть сбалансированы по нагрузке на порт 443.

TCP Proxy Load Balancing поддерживает следующие порты: 25, 43, 110, 143, 195, 443, 465, 587, 700, 993, 995, 1883, 5222

От: GCP HTTP (S) LB и GCP TCP LB

информация из: https://cloud.google.com/load-balancing/docs/https#open_ports

Открытые порты Внешние балансировщики нагрузки HTTP (S) являются балансировщиками нагрузки обратного прокси-сервера. Балансировщик нагрузки завершает входящие соединения, а затем открывает новые соединения от балансировщика нагрузки к бэкэндам. Функциональность обратного прокси-сервера предоставляется внешними интерфейсами Google (GFE).

Правила брандмауэра, которые вы устанавливаете, блокируют трафик от GFE к бэкэндам, но не блокируют входящий трафик к GFE.

Внешние балансировщики нагрузки HTTP (S) имеют ряд открытых портов для поддержки других служб Google, работающих на той же архитектуре. Если вы выполняете проверку безопасности или порты с использованием внешнего IP-адреса внешнего балансировщика нагрузки HTTP (S) Google Cloud, дополнительные порты будут открыты.

Это не влияет на внешние балансировщики нагрузки HTTP (S). Правила внешней пересылки, которые используются в определении внешнего балансировщика нагрузки HTTP (S), могут ссылаться только на порты TCP 80, 8080 и 443. Трафик с другим портом назначения TCP не пересылается на серверную часть балансировщика нагрузки.