Редактировать: Проблема возникла из-за того, что у наших машин не было внешнего IP-адреса, и исходящий трафик проходил через Cloud NAT, который был неправильно настроен (минимальное количество подключений на виртуальную машину).
У меня проблемы с подключением машины GCP к внешнему HTTP-серверу. Ниже приведена строка из tcpdump
16:17:26.561616 IP 2.2.2.2 > 3.3.3.3.http: Flags [S], seq 1152634327, win 28400, options [mss1420,sackOK,TS val3415260604 ecr 0,nop,wscale 7], length 0
16:17:26.561736 IP 1.1.1.1 > 2.2.2.2: ICMP host 3.3.3.3 unreachable - admin prohibited filter, length 68
1.1.1.1 is a GCP gateway
2.2.2.2 is my machine on GCP
3.3.3.3 is the external server
Как узнать, на каком компьютере применяется правило, блокирующее попытку подключения?
решение1
GCP имеет 2 подразумеваемых правила, изложенных всвязь. Подразумеваемое правило выхода разрешает весь исходящий трафик с самым низким приоритетом (65535).
Я воспроизвел сценарий и установил правило брандмауэра в своем проекте GCP (ух ты, это исходный адрес моей виртуальной машины GCP), запрещающее весь исходящий трафик на определенный внешний адрес (xxxx). Я получил, что TCPdump (выполненный на моем экземпляре) показывает повторные попытки подключения:
Где xxxx — внешний IP-адрес, а vminstance — мой экземпляр GCP.
18:19:50.499009 IP vminstance.39728 > xxxx80: Флаги [S], seq 1309572437, win 28400, параметры [mss 1420,sackOK,TS val 323066870 ecr 0,nop,wscale 7], длина 0
18:19:51.527849 IP vminstance.39728 > xxxx80: Флаги [S], seq 1309572437, win 28400, параметры [mss 1420,sackOK,TS val 323067128 ecr 0,nop,wscale 7], длина 0
Итак, сравнив полученные результаты, вы, возможно, захотите взглянуть на правила брандмауэра удаленной сети/хоста.