Bearbeiten: Das Problem entstand, weil unsere Maschinen keine externe IP-Adresse hatten und der ausgehende Datenverkehr daher über Cloud NAT lief, das falsch konfiguriert war (Mindestanzahl an Verbindungen pro VM).
Ich habe Probleme mit einer GCP-Maschine, die eine Verbindung zu einem externen HTTP-Server herstellen kann. Unten ist eine Zeile von tcpdump
16:17:26.561616 IP 2.2.2.2 > 3.3.3.3.http: Flags [S], seq 1152634327, win 28400, options [mss1420,sackOK,TS val3415260604 ecr 0,nop,wscale 7], length 0
16:17:26.561736 IP 1.1.1.1 > 2.2.2.2: ICMP host 3.3.3.3 unreachable - admin prohibited filter, length 68
1.1.1.1 is a GCP gateway
2.2.2.2 is my machine on GCP
3.3.3.3 is the external server
Woher weiß ich, welcher Computer die Regel durchsetzt, die den Verbindungsversuch blockiert?
Antwort1
GCP hat 2 implizite Regeln in derVerknüpfungDie implizite Ausgangsregel lässt den gesamten ausgehenden Datenverkehr mit der niedrigsten Priorität (65535) zu.
Ich habe das Szenario repliziert und eine Firewall-Regel für mein GCP-Projekt eingerichtet (puh, das ist die Quelladresse meiner GCP-VM), die den gesamten ausgehenden Datenverkehr an eine bestimmte externe Adresse (xxxx) verweigert. Ich habe festgestellt, dass TCPdump (über meine Instanz ausgeführt) erneute Verbindungsversuche anzeigt:
Wobei xxxx eine externe IP und vminstance meine GCP-Instanz ist.
18:19:50.499009 IP vminstance.39728 > xxxx80: Flags [S], Sequenz 1309572437, Win 28400, Optionen [mss 1420,sackOK,TS val 323066870 ecr 0,nop,wscale 7], Länge 0
18:19:51.527849 IP vminstance.39728 > xxxx80: Flags [S], Sequenz 1309572437, Win 28400, Optionen [mss 1420,sackOK,TS val 323067128 ecr 0,nop,wscale 7], Länge 0
So angegeben, und im Vergleich zu Ihrer Ausgabe möchten Sie vielleicht die Remote-Netzwerk / Host-Firewall-Regeln sehen