편집: 우리 컴퓨터에 외부 IP 주소가 없어서 나가는 트래픽이 잘못 구성된 Cloud NAT를 통과했기 때문에 문제가 발생했습니다(VM당 최소 연결 수).
외부 HTTP 서버에 연결할 수 있는 GCP 시스템에 문제가 있습니다. 아래는 tcpdump의 한 줄입니다.
16:17:26.561616 IP 2.2.2.2 > 3.3.3.3.http: Flags [S], seq 1152634327, win 28400, options [mss1420,sackOK,TS val3415260604 ecr 0,nop,wscale 7], length 0
16:17:26.561736 IP 1.1.1.1 > 2.2.2.2: ICMP host 3.3.3.3 unreachable - admin prohibited filter, length 68
1.1.1.1 is a GCP gateway
2.2.2.2 is my machine on GCP
3.3.3.3 is the external server
연결 시도를 차단하는 규칙을 적용하는 컴퓨터가 무엇인지 어떻게 알 수 있나요?
답변1
GCP에는 2가지 묵시적 규칙이 명시되어 있습니다.링크. 묵시적 송신 규칙은 우선순위가 가장 낮은 모든 송신 트래픽(65535)을 허용합니다.
특정 외부 주소(xxxx)에 대한 모든 송신 트래픽을 거부하는 내 GCP 프로젝트(어쨌든 내 GCP VM 소스 주소는 무엇입니까)에 방화벽 규칙을 배치한 시나리오를 복제했습니다. TCPdump(내 인스턴스를 통해 수행됨)에 다음의 재시도가 표시됩니다. 연결:
여기서 xxxx는 외부 IP이고 vminstance는 내 GCP 인스턴스입니다.
18:19:50.499009 IP vminstance.39728 > xxxx80: 플래그 [S], seq 1309572437, win 28400, 옵션 [mss 1420,sackOK,TS val 323066870 ecr 0,nop,wscale 7], 길이 0
18:19:51.527849 IP vminstance.39728 > xxxx80: 플래그 [S], seq 1309572437, win 28400, 옵션 [mss 1420,sackOK,TS val 323067128 ecr 0,nop,wscale 7], 길이 0
따라서 출력과 비교하여 원격 네트워크/호스트 방화벽 규칙을 살펴보는 것이 좋습니다.