如何在 Google VM 上设置 SSH 防火墙规则,以便只有我办公室的计算机可以通过 SSH 访问 VM?
How can I set SSH firewall rule on Google VM so that only my office computers can access the VM over SSH?
最近几天,我的 Google VM 不断受到威胁,我收到警告并面临 VM 暂停 Google 说 "cryptocurrency mining activities was found on VM"。我怀疑有人入侵了我的虚拟机并执行此操作 activity。所以,现在我想创建一个带有安全 SSH 防火墙的新虚拟机,这样只有有限的计算机才能访问该虚拟机。
我已经尝试在防火墙上设置办公室路由器的 IP ssh 允许规则,但在设置此规则后,与 VM 的 SSH 连接也会从其他 IP 地址建立。我只想在防火墙规则中指定两个 IP,但它需要 CIDR 格式的 IP 范围(我不清楚)。
我还发现了一些建议,我应该更改 VM 的 ssh 端口。
任何人都可以解释一下,当这些计算机连接到路由器并且所有外部 IP 都相同时,我如何才能将对我的 Google VM 的访问限制为仅一组特定的计算机,即路由器?
谢谢
我了解到您想创建一个带有安全防火墙 SSH 的新虚拟机,并希望限制和允许从办公室路由器的特定 IP 地址进行访问。
为此,您可以按照此处的说明创建防火墙规则 1. To manage the access for a specific instance, I recommend you to use Network Tags for firewall rules 2。
回到您的问题,即使您为特定 IP 地址创建防火墙规则,也会从其他 IP 地址建立与 VM 的 SSH 连接。其原因可能是由于:
您在 GCP 中创建的每个项目都带有默认防火墙规则。
所以可能有一个 default-allow-ssh 规则需要阻止,我想这可能是导致问题的原因。请注意,默认网络包括一些覆盖此规则的附加规则,允许某些类型的传入流量。有关详细信息,请参阅附件 link[3][4]。
[3]https://cloud.google.com/vpc/docs/firewalls#default_firewall_rules
[4]https://cloud.google.com/vpc/docs/firewalls#more_rules_default_vpc
您还可以添加来宾级防火墙规则,例如使用 "iptables" 为您的 VM 实例添加另一个安全级别。但是,GCP 项目级防火墙规则会在网络流量进入您的 VM 实例之前负责检查网络流量。操作系统防火墙阻止任何端口 22 的所有互联网流量。
为了允许特定地址能够连接到您的 VM 实例,您可以在 "default-allow-ssh" GCP 防火墙规则的 "IP ranges" 值上添加 CIDR /32。例如,45.56.122.7/32 和 208.43.25.31/32.
最近几天,我的 Google VM 不断受到威胁,我收到警告并面临 VM 暂停 Google 说 "cryptocurrency mining activities was found on VM"。我怀疑有人入侵了我的虚拟机并执行此操作 activity。所以,现在我想创建一个带有安全 SSH 防火墙的新虚拟机,这样只有有限的计算机才能访问该虚拟机。
我已经尝试在防火墙上设置办公室路由器的 IP ssh 允许规则,但在设置此规则后,与 VM 的 SSH 连接也会从其他 IP 地址建立。我只想在防火墙规则中指定两个 IP,但它需要 CIDR 格式的 IP 范围(我不清楚)。
我还发现了一些建议,我应该更改 VM 的 ssh 端口。
任何人都可以解释一下,当这些计算机连接到路由器并且所有外部 IP 都相同时,我如何才能将对我的 Google VM 的访问限制为仅一组特定的计算机,即路由器?
谢谢
我了解到您想创建一个带有安全防火墙 SSH 的新虚拟机,并希望限制和允许从办公室路由器的特定 IP 地址进行访问。
为此,您可以按照此处的说明创建防火墙规则 1. To manage the access for a specific instance, I recommend you to use Network Tags for firewall rules 2。
回到您的问题,即使您为特定 IP 地址创建防火墙规则,也会从其他 IP 地址建立与 VM 的 SSH 连接。其原因可能是由于:
您在 GCP 中创建的每个项目都带有默认防火墙规则。 所以可能有一个 default-allow-ssh 规则需要阻止,我想这可能是导致问题的原因。请注意,默认网络包括一些覆盖此规则的附加规则,允许某些类型的传入流量。有关详细信息,请参阅附件 link[3][4]。
[3]https://cloud.google.com/vpc/docs/firewalls#default_firewall_rules [4]https://cloud.google.com/vpc/docs/firewalls#more_rules_default_vpc
您还可以添加来宾级防火墙规则,例如使用 "iptables" 为您的 VM 实例添加另一个安全级别。但是,GCP 项目级防火墙规则会在网络流量进入您的 VM 实例之前负责检查网络流量。操作系统防火墙阻止任何端口 22 的所有互联网流量。
为了允许特定地址能够连接到您的 VM 实例,您可以在 "default-allow-ssh" GCP 防火墙规则的 "IP ranges" 值上添加 CIDR /32。例如,45.56.122.7/32 和 208.43.25.31/32.