Ports ouverts sur Google Cloud Load Balancer

Il semble que par défaut, les équilibreurs de charge Google Cloud exposent inutilement un certain nombre de ports. Je n'ai pas trouvé de moyen d'exposer uniquement 80/443 et chaque fois que je crée l'un de leurs équilibreurs de charge, les ports suivants sont visibles dans un nmap:

PORT     STATE  SERVICE
25/tcp   open   smtp
80/tcp   open   http
110/tcp  open   pop3
143/tcp  open   imap
443/tcp  open   https
465/tcp  open   smtps
587/tcp  open   submission
993/tcp  open   imaps
995/tcp  open   pop3s
1720/tcp open   H.323/Q.931
8080/tcp open   http-proxy

Existe-t-il un moyen de bloquer les blocs 25, 465, 587, 993 et ​​995? Notez que cette question concerne les équilibreurs de charge GCP, pas les pare-feu.

Vous ne pouvez pas ajouter de denyrègles au pare-feu GC. La politique par défaut est Deny. Vous pouvez uniquement ajouter des allowrègles - autorisez tout ce dont vous avez besoin et laissez tout le reste être rejeté.

Étant donné que les ports que vous devez bloquer sont autorisés par défaut, il vous suffit de les supprimer. Vérifiez le nom de la règle par défaut:

gcloud compute firewall-rules list [NAME …] [--regexp=REGEXP, -r REGEXP] [--filter=EXPRESSION] [--limit=LIMIT] [--page-size=PAGE_SIZE] [--sort-by=[FIELD,…]] [--uri] [GLOBAL-FLAG …]

et supprimez-le avec:

gcloud compute firewall-rules delete NAME [NAME …] [GLOBAL-FLAG …]

Vous pouvez consulter ici pour des explications plus détaillées sur la façon de gérer le pare-feu Google Cloud.

Il n'est actuellement pas possible de restreindre les ports et les protocoles d'un équilibreur de charge GCP comme vous le pouvez avec un AWS ELB. Il s'agit d'une demande de fonctionnalité. https://issuetracker.google.com/issues/35904903

J'ai également cherché cela, mais je ne pense pas que vous puissiez le faire car ce sont les ports utilisés par Google pour faire du LB:

Les requêtes HTTP peuvent être à charge équilibrée sur la base du port 80 ou 8080. Les requêtes HTTPS peuvent être à charge équilibrée sur le port 443.

L'équilibrage de charge du proxy TCP prend en charge les ports suivants: 25, 43, 110, 143, 195, 443, 465, 587, 700, 993, 995, 1883, 5222

De: GCP HTTP (S) LB et GCP TCP LB

informations de: https://cloud.google.com/load-balancing/docs/https#open_ports

Ports ouverts Les équilibreurs de charge HTTP (S) externes sont des équilibreurs de charge de proxy inverse. L'équilibreur de charge met fin aux connexions entrantes, puis ouvre de nouvelles connexions de l'équilibreur de charge aux backends. La fonctionnalité de proxy inverse est fournie par les Google Front Ends (GFE).

Les règles de pare-feu que vous définissez bloquent le trafic des GFE vers les backends, mais ne bloquent pas le trafic entrant vers les GFE.

Les équilibreurs de charge HTTP (S) externes disposent d'un certain nombre de ports ouverts pour prendre en charge d'autres services Google exécutés sur la même architecture. Si vous exécutez une analyse de sécurité ou de port par rapport à l'adresse IP externe d'un équilibreur de charge HTTP (S) externe Google Cloud, des ports supplémentaires semblent ouverts.

Cela n'affecte pas les équilibreurs de charge HTTP (S) externes. Les règles de transfert externes, qui sont utilisées dans la définition d'un équilibreur de charge HTTP (S) externe, ne peuvent référencer que les ports TCP 80, 8080 et 443. Le trafic avec un port de destination TCP différent n'est pas transmis au backend de l'équilibreur de charge.