Хотя это и не является серьезной проблемой, мне немного любопытно, почему это происходит в Google Compute Engine. У меня есть виртуальная машина, защищенная брандмауэром (использующая брандмауэр Google Cloud), чтобы не принимать трафик c извне, она может быть достигнута только через s sh хостом Бастиана.
На машине также работает iptables, который запрещает все входящие трафики c (кроме порта 22 и установлен / связан).
в iptables отказано: IN = eth0 OUT = MAC = ... SRC = 74.125.133.95 DST = 10.XXX.XXX.X LEN = 40 TOS = 0x00 PREC = 0x00 TTL = 64 ID = 0 DF PROTO = TCP SPT = 443 DPT = 26920 ОКНО = 0 RES = 0x00 RST URGP = 0
iptables отклонено: IN = eth0 OUT = MAC = ... SRC = 74.125.133.95 DST = 10.XXX .XXX.X LEN = 40 TOS = 0x00 PREC = 0x00 TTL = 64 ID = 0 DF PROTO = TCP SPT = 443 DPT = 26920 WINDOW = 0 RES = 0x00 RST URGP = 0
Я понимаю почему iptables регистрирует это, моя конфигурация iptables в основном:
*filter
# Allow all loopback (lo0) traffic and drop all traffic to 127/8 that doesn't use lo0
INPUT -i lo -j ACCEPT
INPUT -d 127.0.0.0/8 -j REJECT
# Accept all established inbound connections
INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# Allow all outbound traffic - you can modify this to only allow certain traffic
OUTPUT -j ACCEPT
# Allow SSH connections from bastian network (not between instances)
INPUT -p tcp -m state --state NEW -s 10.XXX.XX.XXX/24 --dport 22 -j ACCEPT
# Allow from google metadata
INPUT -p tcp -s 169.254.169.254/32 -j ACCEPT
# Allow ping
INPUT -p icmp -j ACCEPT
# Log iptables denied calls
INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7
# Drop all other inbound - default deny unless explicitly allowed policy
INPUT -j DROP
FORWARD -j DROP
COMMIT
И мой вопрос - почему Google Compute Engine (1e100. net) на GCE пытается установить связь через неустановленное соединение? netstat показывает отсутствие процесса прослушивания на этих портах назначения.
Кажется, что все команды работают, поэтому это не мешает реальной связи.
Я предполагаю, что он пытается поговорить с каким-то сервисом на виртуальной машине Compute Engine (он основан на Googles Debian Image), но это должно быстро раскрутить слушателя, так как я не могу найти на него ссылку в нетстате.
С уважением, Никлас