谷歌计算平台防火墙规则

【问题标题】:google compute platform firewall rules谷歌计算平台防火墙规则
【发布时间】:2017-11-22 01:28:21
【问题描述】:

我已经打开了端口,但仍然无法正常工作。

来自我本地机器上的 gcloud:

C:\Program Files (x86)\Google\Cloud SDK>gcloud compute firewall-rules list
To show all fields of the firewall, please show in JSON format: --format=json
To show all fields in table format, please see the examples in --help.

NAME                    NETWORK  DIRECTION  PRIORITY  ALLOW                             DENY
default-allow-https     default  INGRESS    1000      tcp:443
default-allow-icmp      default  INGRESS    65534     icmp
default-allow-internal  default  INGRESS    65534     tcp:0-65535,udp:0-65535,icmp
default-allow-rdp       default  INGRESS    65534     tcp:3389
default-allow-ssh       default  INGRESS    65534     tcp:22
django                  default  EGRESS     1000      tcp:8000,tcp:80,tcp:8080,tcp:443
django-in               default  INGRESS    1000      tcp:8000,tcp:80,tcp:8080,tcp:443

来自谷歌云上的实例:

admin-u5214628@instance-1:~$ wget localhost:8080
--2017-11-22 01:23:56--  http://localhost:8080/
Resolving localhost (localhost)... 127.0.0.1
Connecting to localhost (localhost)|127.0.0.1|:8080... connected.
HTTP request sent, awaiting response... 302 FOUND
Location: http://localhost:8080/login/?next=/ [following]
--2017-11-22 01:23:56--  http://localhost:8080/login/?next=/
Connecting to localhost (localhost)|127.0.0.1|:8080... connected.
HTTP request sent, awaiting response... 200 OK
Length: unspecified [text/html]
Saving to: ‘index.html’

index.html              [ <=>                ]   6.26K  --.-KB/s    in 0s

2017-11-22 01:23:56 (161 MB/s) - ‘index.html’ saved [6411]

但是通过外部ip,什么都没有显示:

http://35.197.1.158:8080/

我通过以下命令检查了端口:

root@instance-1:/etc# netstat -ntlp | grep LISTEN
tcp        0      0 127.0.0.1:6379          0.0.0.0:*               LISTEN      1539/redis-server 1
tcp        0      0 127.0.0.1:8080          0.0.0.0:*               LISTEN      2138/python
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      1735/sshd
tcp6       0      0 :::22                   :::*                    LISTEN      1735/sshd

我不确定这对于 Ubuntu 防火墙设置是否足够?我觉得还可以。

在实例上,我检查了我能想到的所有内容。

还有 UFW(简单的防火墙):

root@instance-1:~# ufw status
Status: inactive

据我了解,这意味着它已关闭,因此不会阻止任何内容。

按照建议,我尝试配置iptables

iptables -P INPUT ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 8080 -j ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X

然后我保存它:

root@instance-1:~# iptables-save -c
# Generated by iptables-save v1.6.0 on Thu Nov 23 00:16:44 2017
*mangle
:PREROUTING ACCEPT [175:18493]
:INPUT ACCEPT [175:18493]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [154:15965]
:POSTROUTING ACCEPT [154:15965]
COMMIT
# Completed on Thu Nov 23 00:16:44 2017
# Generated by iptables-save v1.6.0 on Thu Nov 23 00:16:44 2017
*nat
:PREROUTING ACCEPT [6:300]
:INPUT ACCEPT [6:300]
:OUTPUT ACCEPT [6:360]
:POSTROUTING ACCEPT [6:360]
COMMIT
# Completed on Thu Nov 23 00:16:44 2017
# Generated by iptables-save v1.6.0 on Thu Nov 23 00:16:44 2017
*filter
:INPUT ACCEPT [169:18193]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [163:17013]
[6:300] -A INPUT -p tcp -m tcp --dport 8080 -j ACCEPT
[0:0] -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
COMMIT
# Completed on Thu Nov 23 00:16:44 2017

现在看起来像这样:

root@instance-1:~# iptables -v -n -x -L
Chain INPUT (policy ACCEPT 80 packets, 5855 bytes)
    pkts      bytes target     prot opt in     out     source               destination
       0        0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:8080
       0        0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
    pkts      bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 52 packets, 6047 bytes)
    pkts      bytes target     prot opt in     out     source               destination

为了确保规则得到应用并生效:

iptables-save > /etc/iptables.rules
iptables-apply /etc/iptables.rules

我认为我不需要重新启动/重置实例。

我想我需要forward traffic to local ip:

# sysctl net.ipv4.ip_forward=1
# iptables -t nat -A PREROUTING -p tcp --dport 8080 -j DNAT --to-destination 127.0.0.1:8000
# iptables -t nat -A POSTROUTING -j MASQUERADE
# python manage.py runserver
Performing system checks...

System check identified no issues (0 silenced).
November 24, 2017 - 17:54:00
Django version 1.8.18, using settings 'codebench.settings'
Starting development server at http://127.0.0.1:8000/

这种方法行不通……

试过了:

python manage.py runserver 0.0.0.0:8080 &

这肯定在我的本地机器上工作,只是在谷歌实例上不行,我很困惑。

【问题讨论】:

    标签: django google-cloud-platform firewall iptables portforwarding


    【解决方案1】:

    根据我的经验,当我创建计算引擎的实例时,我应该明确标记允许 HTTP(S) 访问。这可能是一件值得一看的事情。

    另一个 - 您在计算引擎实例中部署/使用的操作系统可能有自己的防火墙规则。它们需要进行相应的修改。

    基于新提供的有关 UFW 和 Ubuntu 的信息。我对 Ubuntu 不是很有信心,但我知道 UFW 是 iptables 的包装器。我可能错了,但我想如果启用它可能会更好。然后,您也许可以获得有关防火墙配置的更多详细信息。

    【讨论】:

      【解决方案2】:

      我认为问题在于服务器只听 127.0.0.1:8080 而不是 0.0.0.0:8080,因为它应该是。这就是您收到http://localhost:8080/ 回复的原因,而不是 与http://35.197.1.158:8080有关更多详细信息,请从stackoverflow What is the difference between 0.0.0.0, 127.0.0.1 and localhost?查看此答案

      要更改 Apache 的配置以侦听 0.0.0.0:8080 或特定 IP 和端口,请遵循此文档https://httpd.apache.org/docs/2.4/bind.html

      【讨论】:

      • 还没有在那个 vm 上安装任何合适的服务器,比如 Apache,它是用 runserver 运行的,这个问题是很久以前的问题了,现在应用程序设置了一个私有服务器(用Nginx)
      猜你喜欢
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2017-11-02
      • 2019-05-10
      • 2021-05-05
      • 2016-11-26
      • 2021-09-27
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode