Pregunta Evitar que China se conecte a mi servidor de Google Compute Engine


Mi empresa tiene un servidor de Google Compute Engine alojado en América del Norte. Recibimos tantas direcciones IP chinas enviando solicitudes al puerto 11 que nos está costando dinero para el ingreso. Nuestro cortafuegos ya bloquea todas las conexiones a China, ya que no tienen ningún negocio que tenga acceso a nuestras aplicaciones.

¿Hay alguna forma de ignorar completamente estas conexiones o bloquearlas de tal manera que no consuman ancho de banda?


9
2018-05-28 16:38


origen


Eso va a estar en Google, si quieren apoyar eso. No puedes controlar nada al otro lado de tus puertos de entrada. - Hyppy
¿Por qué el puerto 11 está abierto? - ceejayoz
¿Google te cobra por el tráfico a los puertos bloqueados? Yeesh. - ceejayoz
@TomTom Según cloud.google.com/compute/pricing#network El tráfico de ingreso es gratuito. Mientras el puerto esté cerrado, no debe haber ninguna salida para cargar. - ceejayoz
@ josh123a123 ¿logró reducir esos costos? Estoy teniendo el mismo problema - dietbacon


Respuestas:


Los cortafuegos tienen dos opciones principales cuando se reciben intentos de conexión no deseados.

  1. RECHAZAR: envíe una respuesta indicando que el puerto / servicio / etc está cerrado o
    indisponible
  2. DROP - no respondas y solo suelta los paquetes

Las palabras REJECT / DROP no son estándar ni se usan en todos los firewalls, pero la diferencia entre los conceptos detrás de las dos acciones posibles estará ahí. Desea hacer el equivalente de DROP para que no haya tráfico saliente. Como lo mencionaron otros, el tráfico entrante no incurre en cargos.


7
2018-05-28 21:47





No hay ningún cargo por el tráfico de ingreso de Google Compute Engine. Echa un vistazo a Precios de red GCE. Si se le ha cobrado por el tráfico de ingreso, puede comunicarse con el equipo de facturación de Cloud para aclarar y corregir el cargo.

Con respecto a las solicitudes al puerto 11, en la medida en que este puerto esté bloqueado en el firewall de su red GCE, sus instancias de VM deben ser seguras y las solicitudes no deben consumir el ancho de banda.

Tengo curiosidad por saber la forma en que usted supervisa estas solicitudes.


8
2018-05-28 21:00



Volví a mirar la factura y el cargo es por egreso. Estaba rechazando el tráfico que era donde se estaba comiendo el ancho de banda saliente. - josh123a123
Tenga en cuenta que no hay un modo de RECHAZO / opción para GCE Firewall. La red busca una regla de firewall que permita una conexión con el objetivo: si es así, la envía; Si no, simplemente deja caer el paquete sin informar al remitente. Para obtener más información, puede consultar la sección "Quién maneja qué" de este artículo: cloud.google.com/compute/docs/networking#networkingdetails - Kamran