Puertos abiertos en Google Cloud Load Balancer

Parece que, de forma predeterminada, los equilibradores de carga de Google Cloud exponen una cantidad de puertos sin necesidad. No he encontrado una manera de exponer solo 80/443 y cada vez que hago uno de sus equilibradores de carga, los siguientes puertos se ven en un nmap:

PORT     STATE  SERVICE
25/tcp   open   smtp
80/tcp   open   http
110/tcp  open   pop3
143/tcp  open   imap
443/tcp  open   https
465/tcp  open   smtps
587/tcp  open   submission
993/tcp  open   imaps
995/tcp  open   pop3s
1720/tcp open   H.323/Q.931
8080/tcp open   http-proxy

¿Hay alguna manera de bloquear 25, 465, 587, 993 y 995? Tenga en cuenta que esta pregunta es sobre equilibradores de carga GCP, no firewalls.

No puede agregar denyreglas al firewall del GC. La política predeterminada es Deny. Solo puede agregar allowreglas: permita todo lo que necesita y deje que todo lo demás sea rechazado.

Dado que los puertos que necesita bloquear están permitidos de manera predeterminada, simplemente necesita eliminarlos. Verifique el nombre de la regla predeterminada:

gcloud compute firewall-rules list [NAME …] [--regexp=REGEXP, -r REGEXP] [--filter=EXPRESSION] [--limit=LIMIT] [--page-size=PAGE_SIZE] [--sort-by=[FIELD,…]] [--uri] [GLOBAL-FLAG …]

y eliminarlo con:

gcloud compute firewall-rules delete NAME [NAME …] [GLOBAL-FLAG …]

Puede consultar aquí para obtener una explicación más detallada sobre cómo manejar el firewall de Google Cloud.

Actualmente no es posible restringir los puertos y protocolos de un equilibrador de carga GCP utilizados como se puede con un AWS ELB. Esta es una solicitud de función. https://issuetracker.google.com/issues/35904903

También busqué eso, pero no creo que puedas, ya que estos son los puertos utilizados por Google para hacer LB:

Las solicitudes HTTP se pueden equilibrar en función del puerto 80 o 8080. Las solicitudes HTTPS se pueden equilibrar en el puerto 443.

TCP Proxy Load Balancing admite los siguientes puertos: 25, 43, 110, 143, 195, 443, 465, 587, 700, 993, 995, 1883, 5222

De: GCP HTTP (S) LB y GCP TCP LB

información de: https://cloud.google.com/load-balancing/docs/https#open_ports

Puertos abiertos Los equilibradores de carga externos HTTP (S) son equilibradores de carga de proxy inverso. El equilibrador de carga finaliza las conexiones entrantes y luego abre nuevas conexiones desde el equilibrador de carga a los backends. La funcionalidad de proxy inverso es proporcionada por Google Front Ends (GFE).

Las reglas de firewall que establece bloquean el tráfico de los GFE a los backends, pero no bloquean el tráfico entrante a los GFE.

Los equilibradores de carga externos HTTP (S) tienen varios puertos abiertos para admitir otros servicios de Google que se ejecutan en la misma arquitectura. Si ejecuta un escaneo de seguridad o de puertos contra la dirección IP externa de un equilibrador de carga HTTP (S) externo de Google Cloud, los puertos adicionales parecen estar abiertos.

Esto no afecta a los equilibradores de carga HTTP (S) externos. Las reglas de reenvío externo, que se utilizan en la definición de un equilibrador de carga HTTP (S) externo, solo pueden hacer referencia a los puertos TCP 80, 8080 y 443. El tráfico con un puerto de destino TCP diferente no se reenvía al backend del equilibrador de carga.