有什么方法可以阻止 GKE 上负载均衡器的端口吗?
Is there any way to block ports of a loadbalancer on GKE?
我在 GKE 上设置一个带有入口的应用程序,并想关闭 tcp/udp 的端口。除了 GCE 防火墙设置,我应该如何关闭它们。
通过第 3 方的端口扫描,我了解到某些端口已打开,并且其中可能存在任何安全漏洞。
至于一些端口,它们被tcp/udp负载均衡器使用,gcp官方网站说。 1
现在,我使用的是 HTTPS 负载均衡器,我没有设置任何其他打开端口的设置。
我认为全局负载均衡器是最前端的,防火墙设置在负载均衡器后面的任何后端都有效。
为了试用,我设置了一个防火墙设置,禁止所有入口连接,优先级最高,但是没有显示任何效果。
目标端口列表:
tcp开放端口:25,43,110,143,195,465,587,700,993,995,1883,3389,5222,5432,5671,5672,5900,5901,6379,8080,8085,8099,9092,9200,9300
udp开放端口:443
使用 nmap,PowerShell 上的连接检查,他们显示了相同的结果。
上述所有端口保持打开状态。
PS C:\Users\L> $tc = New-Object System.Net.Sockets.tcpClient
PS C:\Users\L> $tc.connect("target-doamin", 25)
PS C:\Users\L> $tc.connected
True
根据 documentation,防火墙规则应用于实例级别。因此,他们无法阻止流量到达负载均衡器本身。
作为解决方法,我建议定义 Network tags 并使用防火墙规则将其作为目标。
我在 GKE 上设置一个带有入口的应用程序,并想关闭 tcp/udp 的端口。除了 GCE 防火墙设置,我应该如何关闭它们。
通过第 3 方的端口扫描,我了解到某些端口已打开,并且其中可能存在任何安全漏洞。
至于一些端口,它们被tcp/udp负载均衡器使用,gcp官方网站说。 1
现在,我使用的是 HTTPS 负载均衡器,我没有设置任何其他打开端口的设置。 我认为全局负载均衡器是最前端的,防火墙设置在负载均衡器后面的任何后端都有效。
为了试用,我设置了一个防火墙设置,禁止所有入口连接,优先级最高,但是没有显示任何效果。
目标端口列表: tcp开放端口:25,43,110,143,195,465,587,700,993,995,1883,3389,5222,5432,5671,5672,5900,5901,6379,8080,8085,8099,9092,9200,9300 udp开放端口:443
使用 nmap,PowerShell 上的连接检查,他们显示了相同的结果。
上述所有端口保持打开状态。
PS C:\Users\L> $tc = New-Object System.Net.Sockets.tcpClient
PS C:\Users\L> $tc.connect("target-doamin", 25)
PS C:\Users\L> $tc.connected
True
根据 documentation,防火墙规则应用于实例级别。因此,他们无法阻止流量到达负载均衡器本身。
作为解决方法,我建议定义 Network tags 并使用防火墙规则将其作为目标。