Вопрос:

Google Cloud - заблокировать входящие соединения

networking firewall google-cloud-platform

1253 просмотра

3 ответа

33 Репутация автора

Есть ли способ заблокировать входящие подключения к Google Cloud с определенного набора IP-адресов?

Веб-сайт нашей компании размещен на GCE, и я хотел бы заблокировать несколько IP-адресов, которые в настоящее время очищают наш сайт. Я не смог найти какие-либо параметры в разделе «Брандмауэр» в консоли GCE.

Спасибо! Alex

Автор: Alex2326 Источник Размещён: 02.10.2014 07:33

Ответы (3)


3 плюса

709 Репутация автора

Решение

Брандмауэр в GCE используется для «разрешения» входящего трафика и, к сожалению, не может использоваться для создания «блокирующих» правил. Таким образом, почти все по умолчанию заблокировано, и вам нужно создать правила, чтобы разрешить входящий трафик.

Вместо этого вы можете использовать брандмауэр на самой виртуальной машине. Например, если вы используете экземпляр Linux, вы можете посмотреть iptables. Вот статья в Википедии об этом, но я настоятельно рекомендую вам ознакомиться с man-страницами для получения подробной информации. Таким образом, вы можете создать правило для блокировки одного конкретного IP-адреса, например.

Автор: Boyan Размещён: 21.10.2014 07:03

0 плюса

666 Репутация автора

Теперь можно заблокировать входящий трафик с определенного набора IP-адресов в сети VPC > Правила брандмауэра в консоли Google Cloud Platform. Это означает, что вы можете применить одно правило блокировки ко всем вашим экземплярам GCE, которые находятся в одной и той же сети VPC.

Вот настройки правила блокировки, которые я использовал для блокировки всего трафика с определенного набора IP-адресов:

Приоритет: 900 (должно быть меньше, чем ваши разрешающие правила, поэтому он переопределяет ваши разрешающие правила при сопоставлении заблокированного IP-адреса)

Направление: Ingress

Действие на матч: Запретить

Исходные фильтры: диапазоны IP-адресов: разделенный запятыми список IP-адресов или диапазонов IP-адресов.

Протоколы и порты: Запретить все

Исполнение: Включено

Автор: Simon Watson Размещён: 20.04.2018 09:22

0 плюса

2726 Репутация автора

В Linux наиболее эффективным способом блокировки является использование ipset, что происходит быстрее, чем использование iptables.

Команды:

sudo ipset -N BLOCK nethash
sudo ipset -q -A BLOCK 35.192.0.0/12
sudo ipset -q -A BLOCK 35.208.0.0/12
sudo ipset -q -A BLOCK 35.240.0.0/13
sudo ipset -q -A BLOCK 35.224.0.0/12
sudo ipset -q -A BLOCK 35.184.0.0/13
sudo iptables -A INPUT -m set --match-set BLOCK src -j DROP
  1. Первая строка создает список IP-адресов и диапазонов в ipset, который называется BLOCK.
  2. Следующие пять строк блокируют диапазоны IP-адресов Google Cloud до ipset BLOCK
  3. Последняя строка говорит iptables блокировать любые запросы к любому адресу, который совпадает с ipset BLOCK.

Насколько я знаю, это IP-диапазоны Google Cloud на момент написания. Вы можете проверить их с помощью WHOIS; хотя я думаю, что единственные изменения, которые могут произойти, - это добавление большего количества IP-адресов, чем текущих.

Автор: Kohjah Breese Размещён: 01.03.2019 10:01
Вопросы из категории :
32x32