总之,尽管我设置了一个允许tcp:80的防火墙规则,我的GCE实例,它位于"默认"网络,不接受到端口80的连接。似乎只有端口22在我的实例上打开。我可以ping它,但不能在64跳以下追踪到它。
接下来是我的调查得出了这些结论。
gcloud beta compute firewall-rules list
NAME NETWORK DIRECTION PRIORITY ALLOW DENY
default-allow-http default INGRESS 1000 tcp:80
default-allow-https default INGRESS 1000 tcp:443
default-allow-icmp default INGRESS 65534 icmp
default-allow-internal default INGRESS 65534 tcp:0-65535,udp:0-65535,icmp
default-allow-rdp default INGRESS 65534 tcp:3389
default-allow-ssh default INGRESS 65534 tcp:22
temp default INGRESS 1000 tcp:8888
gcloud compute instances list
NAME ZONE MACHINE_TYPE PREEMPTIBLE INTERNAL_IP EXTERNAL_IP STATUS
ssrf3 us-west1-c f1-micro true 10.138.0.4 35.197.33.182 RUNNING
gcloud compute instances describe ssrf3
...
name: ssrf3
networkInterfaces:
- accessConfigs:
- kind: compute#accessConfig
name: external-nat
natIP: 35.197.33.182
type: ONE_TO_ONE_NAT
kind: compute#networkInterface
name: nic0
network: https://www.googleapis.com/compute/v1/projects/hack-170416/global/networks/default
networkIP: 10.138.0.4
subnetwork: https://www.googleapis.com/compute/v1/projects/hack-170416/regions/us-west1/subnetworks/default
...
tags:
fingerprint: 6smc4R4d39I=
items:
- http-server
- https-server
我ssh到35.197.33.182(这是ssrf3实例)并运行:
sudo nc -l -vv -p 80
在我的本地计算机上,我运行:
nc 35.197.33.182 80 -vv
hey
但没有任何反应。 所以我试着ping主机。这看起来很健康:
ping 35.197.33.182
PING 35.197.33.182 (35.197.33.182): 56 data bytes
64 bytes from 35.197.33.182: icmp_seq=0 ttl=57 time=69.172 ms
64 bytes from 35.197.33.182: icmp_seq=1 ttl=57 time=21.509 ms
Traceroute在64跳之后退出,但未到达35.197.33.182目的地。
所以我用nmap检查哪些端口是打开的:
nmap 35.197.33.182
Starting Nmap 7.12 ( https://nmap.org ) at 2017-06-18 16:39 PDT
Note: Host seems down. If it is really up, but blocking our ping probes, try -Pn
Nmap done: 1 IP address (0 hosts up) scanned in 3.06 seconds
nmap 35.197.33.182 -Pn
Starting Nmap 7.12 ( https://nmap.org ) at 2017-06-18 16:39 PDT
Nmap scan report for 182.33.197.35.bc.googleusercontent.com (35.197.33.182)
Host is up (0.022s latency).
Not shown: 999 filtered ports
PORT STATE SERVICE
22/tcp open ssh
Nmap done: 1 IP address (1 host up) scanned in 6.84 seconds
...即使我在35.197.33.182上运行nc -l -p 80
。
答案 0 :(得分:3)
确保VM级防火墙不干预。例如,与所有其他默认图像相比,容器优化操作系统有点特殊:
默认情况下,容器优化的操作系统主机防火墙仅允许传出连接,并仅通过SSH服务接受传入连接。要接受Container优化的OS实例上的传入连接,您必须打开服务正在侦听的端口。
https://cloud.google.com/container-optimized-os/docs/how-to/firewall
答案 1 :(得分:0)
快速浏览一下,您的设置似乎是正确的。
tcp:80
用于默认网络中的所有实例。当您在云提供商上运行虚拟机时,Traceroute不会给出良好的指示,因为遗憾的是使用了SDN,虚拟网络和一大堆中间网络基础设施。
我注意到的一件事是您的实例有2个标签http-server
和https-server
。这些可能会被其他一些防火墙规则使用,这些规则可能以某种方式阻止到VM的tcp:80端口的流量。
您的设置中还有其他变量,如果需要,我很乐意进行调试。
您可以尝试基于标记的防火墙规则,这些规则仅将防火墙规则应用于具有指定目标标记的实例。
网络使用网络标记来标识哪些实例 受某些防火墙规则和网络路由的限制。例如,如果 你有几个服务于大型网站的VM实例标签 这些实例使用共享的单词或术语,然后使用该标记 应用允许HTTP访问这些实例的防火墙规则。标签 也反映在元数据服务器中,因此您可以使用它们 应用程序在您的实例上运行创建防火墙时 规则,您可以提供
sourceRanges
或sourceTags
,但不能同时提供。{/ p>
# Add a new tag based firewall rule to allow ingress tcp:80
gcloud compute firewall-rules create rule-allow-tcp-80 --source-ranges 0.0.0.0/0 --target-tags allow-tcp-80 --allow tcp:80
# Add the allow-tcp-80 target tag to the VM ssrf3
gcloud compute instances add-tags ssrf3 --tags allow-tcp-80
可能需要几秒钟到几分钟才能使更改生效。
注意:由于您要将虚拟机外部IP的端口打开到互联网,因此请根据在这些端口上运行的应用程序的需要,相应地限制访问。
答案 2 :(得分:0)
选中两个复选框“允许HTTP通信”和“允许HTTPS通信”就可以了。这创建了两个防火墙规则,打开了端口80和443。 出于某些原因,手动为这些端口添加规则没有用,但是可以选中相应的框。
答案 3 :(得分:0)
在经历了很多曲折之后,以下内容在 ubuntu-1404-trusty-v20190514 上为我工作 ,其中有一个nodejs应用程序侦听端口8080。接受端口80和8080,然后将80重定向到8080。
sudo iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT
sudo iptables -A INPUT -i eth0 -p tcp --dport 8080 -j ACCEPT
sudo iptables -t nat -A OUTPUT -o lo -p tcp --dport 80 -j REDIRECT --to-port 8080
sudo iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 8080
答案 4 :(得分:0)
如果您是Windows服务器实例,则可以尝试关闭Windows Defender并检查它是否阻止了传入连接。