Editar: el problema surgió porque nuestras máquinas no tenían una dirección IP externa y, por lo tanto, el tráfico saliente pasaba a través de Cloud NAT, que estaba mal configurado (conexiones mínimas por máquina virtual).
Tengo problemas para que una máquina GCP pueda conectarse a un servidor HTTP externo. A continuación se muestra una línea de tcpdump
16:17:26.561616 IP 2.2.2.2 > 3.3.3.3.http: Flags [S], seq 1152634327, win 28400, options [mss1420,sackOK,TS val3415260604 ecr 0,nop,wscale 7], length 0
16:17:26.561736 IP 1.1.1.1 > 2.2.2.2: ICMP host 3.3.3.3 unreachable - admin prohibited filter, length 68
1.1.1.1 is a GCP gateway
2.2.2.2 is my machine on GCP
3.3.3.3 is the external server
¿Cómo sé qué máquina aplica la regla que bloquea el intento de conexión?
Respuesta1
GCP tiene 2 reglas implícitas establecidas en elenlace. La regla de salida implícita permite todo el tráfico de salida con la prioridad más baja (65535).
Repliqué el escenario y coloqué una regla de firewall en mi proyecto de GCP (uf, es mi dirección de origen de VM de GCP) negando todo el tráfico de salida a una dirección externa específica (xxxx), obtuve que TCPdump (realizado en mi instancia) muestra reintentos de conexión:
Donde xxxx es una IP externa y vminstance es mi instancia de GCP.
18:19:50.499009 IP vminstance.39728 > xxxx80: Banderas [S], secuencia 1309572437, win 28400, opciones [mss 1420,sackOK,TS val 323066870 ecr 0,nop,wscale 7], longitud 0
18:19:51.527849 IP vminstance.39728 > xxxx80: Banderas [S], secuencia 1309572437, win 28400, opciones [mss 1420,sackOK,TS val 323067128 ecr 0,nop,wscale 7], longitud 0
Dicho esto, y en comparación con su resultado, es posible que desee consultar las reglas de firewall de host/red remota