Почему установка правила исходящего трафика с помощью iptables блокирует весь сайт, а правило исходящего трафика в брандмауэре Google Cloud не сильно меняет?

Я занимаюсь небольшим проектом в GCE, и меня не устроили исходящие сборы. Я искал предмет, чтобы лучше понять его, и, по мнению многих, каждый раз, когда страница запрашивается, а затем отправляется за пределы сети, она выходит. Но я решил проверить это и заблокировать исходящий трафик, установив следующее правило брандмауэра:

Traffic: egress; Action: deny; Ip ranges: 0.0.0.0/0; Protocols and ports: all;

Результат был таков: веб-сайт все еще работает, и перестали работать только некоторые вещи, такие как электронная почта и обновления. Но к каждой странице по-прежнему может получить доступ кто угодно.

Затем я проделал следующее с iptables, чтобы увидеть разницу:

iptables -A OUTPUT -o eth0 -j DROP

Он полностью заблокировал мой сайт. Я даже потерял доступ к SSH. Слава богу, не сохранил, и перезагрузки экземпляра хватило.

Итак, я не могу понять, что считается выходом в Google.


google-cloud-platform google-compute-engine web-application-firewall
person Pierre.A    schedule 25.12.2020    source источник
comment
С точки зрения брандмауэра «Egress» предположительно является исходящим соединением, а не только исходящим трафиком.   -  person a guest    schedule 25.12.2020

Ответы (1)


arrow_upward
1
arrow_downward

Если к вашему экземпляру подключается клиент (входящие - входящие подключения), например веб-браузер, автоматически создается и разрешается правило для обратного трафика. Правила брандмауэра VPC отслеживают состояние.

Если соединение разрешено через брандмауэр в любом направлении, также разрешен обратный трафик, соответствующий этому соединению. Вы не можете настроить правило брандмауэра, чтобы запретить связанный ответный трафик.

Созданное вами правило не позволяет экземпляру подключаться к другому месту назначения (исходящие - исходящие соединения).

Обзор правил брандмауэра VPC

person John Hanley    schedule 25.12.2020
comment
Так что вариант выхода бесполезен, верно? Ну, Google этого не объясняет. Даже их поддержка не знает этого. Я разговаривал с ними сегодня, и они не смогли объяснить, как это работает, просто скопировали и вставили текст со страницы Google Cloud. - person Pierre.A; 25.12.2020
comment
Правила выхода очень полезны. Они контролируют исходящий трафик. Например, вы можете предотвратить проникновение хакера за пределы вашего компьютера в случае его взлома. Вы можете запретить обновление определенных серверов. У них много применений. Большинство архитекторов не утруждают себя настройкой исходящих правил, поскольку вам нужно изменить свое представление о доступе / запрете. Google предлагает услуги частного доступа, поэтому вашим экземплярам не требуется доступ к общедоступному Интернету. Правила выхода могут усилить это ограничение. - person John Hanley; 25.12.2020
comment
Я имел в виду, что они контролируют исходящие соединения. - person John Hanley; 25.12.2020