Google cloud platform 为什么使用iptables设置出站规则会阻止整个站点,而谷歌云防火墙中的出站规则不会';变化不大?
我在GCE做一个小项目,我对出口费不满意。我搜索这个主题是为了更好地理解它,根据许多人的说法,每次一个页面被请求,然后被发送到网络之外,它就是出口。但我决定对其进行测试,并通过如下设置防火墙规则来阻止出口流量:Google cloud platform 为什么使用iptables设置出站规则会阻止整个站点,而谷歌云防火墙中的出站规则不会';变化不大?,google-cloud-platform,google-compute-engine,web-application-firewall,Google Cloud Platform,Google Compute Engine,Web Application Firewall,我在GCE做一个小项目,我对出口费不满意。我搜索这个主题是为了更好地理解它,根据许多人的说法,每次一个页面被请求,然后被发送到网络之外,它就是出口。但我决定对其进行测试,并通过如下设置防火墙规则来阻止出口流量: Traffic: egress; Action: deny; Ip ranges: 0.0.0.0/0; Protocols and ports: all; 结果是:该网站仍在运行,只有一些东西停止了工作,如电子邮件和更新。但每个页面仍然可以被任何人访问 然后,我使用iptables执
Traffic: egress; Action: deny; Ip ranges: 0.0.0.0/0; Protocols and ports: all;
iptables -A OUTPUT -o eth0 -j DROP
因此,我无法理解什么算是谷歌的出口。如果客户端连接到您的实例(入口-传入连接),例如web浏览器,则会自动创建并允许返回流量的规则。VPC防火墙规则是有状态的 当允许从任一方向通过防火墙进行连接时, 还允许返回与此连接匹配的流量。你不能 配置防火墙规则以拒绝关联的响应流量 您创建的规则阻止实例连接到另一个目标(出口-传出连接)
就防火墙而言,“出口”可能是一个出站连接,而不仅仅是出站流量。所以出口选项是无用的,对吗?谷歌没有解释这一点。连他们的支持者都不知道这一点。我今天和他们谈过,他们无法解释它是如何工作的,只是从谷歌云页面复制并粘贴文本。出口规则非常有用。他们控制出境交通。例如,如果黑客入侵,您可以阻止他们进入您的计算机。您可以阻止对特定服务器的更新。它们有很多用途。大多数架构师并不费心配置出站规则,因为您需要改变对访问/拒绝的想法。谷歌提供私人访问服务,因此您的实例不需要访问公共互联网。出口规则可以强制执行该限制。我的意思是“它们控制出站连接”。