Как настроить правило брандмауэра SSH на виртуальной машине Google, чтобы только мои офисные компьютеры могли получать доступ к виртуальной машине через SSH?

Question

В последние несколько дней моя виртуальная машина Google постоянно подвергается риску, я получил предупреждение, и Google столкнулся с приостановкой работы виртуальной машины, сказав, что на виртуальных машинах были обнаружены действия по извлечению криптовалюты.Я подозреваю, что кто-то взломал мою виртуальную машину и занялся этим.Итак, теперь я хочу создать новую виртуальную машину с защищенным брандмауэром SSH таким образом, чтобы к ней могли обращаться только ограниченные компьютеры.

Я попытался установить IP-адрес своих офисных маршрутизаторов в правиле ssh allow брандмауэра, но после установки этогоПравило также SSH-соединение с ВМ устанавливается с других IP-адресов.Я просто хочу указать два IP-адреса в правиле брандмауэра, но он ожидает диапазоны IP-адресов в формате CIDR (с которым мне неясно).

Я также нашел некоторые предложения, что мне следует изменить порт ssh виртуальной машины.

Может ли кто-нибудь объяснить, как я могу ограничить доступ к моей виртуальной машине Google только к определенному набору компьютеров, когда эти компьютеры подключены к маршрутизатору, а внешний IP-адрес одинаков для всех, т.е. для маршрутизатора?

Спасибо

Answer 1

Я понимаю, что вы хотите создать новую виртуальную машину с защищенным брандмауэром SSH и хотите ограничить и разрешить доступ с определенных IP-адресов вашего офисного маршрутизатора.

Для этого вы можете создать правила брандмауэра, как описано здесь 1 .Для управления доступом для определенного экземпляра я рекомендую вам использовать сетевые теги для правил брандмауэра 2 .

Возвращаясь к вашей проблеме, что SSH-соединение с ВМ устанавливается с другого IPадреса даже при создании правила брандмауэра для определенного IP-адреса.Причина этого может быть в следующем:

Каждый проект, который вы создаете в GCP, поставляется с правилами брандмауэра по умолчанию.Так что может быть одно правило default-allow-ssh, которое вам нужно заблокировать, я думаю, что это может быть причиной проблемы.Обратите внимание, что сеть по умолчанию включает некоторые дополнительные правила, которые переопределяют это правило, разрешая определенные типы входящего трафика.Подробнее см. В прикрепленной ссылке [3] [4].

[3] https://cloud.google.com/vpc/docs/firewalls#default_firewall_rules [4] https://cloud.google.com/vpc/docs/firewalls#more_rules_default_vpc

Вы также можете добавить гостяУровень правила брандмауэра с использованием, например, «iptables», чтобы добавить еще один уровень безопасности для вашего экземпляра виртуальной машины.Однако правило брандмауэра на уровне проекта GCP заботится о проверке сетевого трафика, прежде чем он попадет в ваши экземпляры виртуальных машин.Брандмауэр операционной системы блокирует весь интернет-трафик на любой порт 22.

Чтобы разрешить конкретный адрес для подключения к экземпляру вашей виртуальной машины, вы можете добавить CIDR / 32 в значение «Диапазоны IP-адресов».вашего правила брандмауэра GCP "default-allow-ssh".Например, 45.56.122.7/32 и 208.43.25.31/32.