- 在 GCE 中创建了一个实例,标记为“tagA”
- 已创建防火墙规则:
tcp:12345、源标签tagA、目标标签tagA - 在执行的实例上:
nc -l 0.0.0.0 -p 12345
netstat -an |复制代码
tcp 0 0 0.0.0.0:12345 0.0.0.0:* 侦听
尝试连接内部:
nc -v internal.ip 12345=> 12345(?)打开尝试连接外部:
nc -v external.ip 12345=> 12345(?):连接被拒绝
根据GCE手册:
sourceTags [如果未指定 sourceRanges,则为必填项] 如果源位于此网络内且具有指定的标签之一,则将接受连接。如果同时指定了 sourceRanges 和 sourceTags,则如果源的范围或标签与 sourceRanges 或 sourceTags 匹配,则允许入站连接。
有人能解释为什么此防火墙规则无法使用外部 IP 上的端口吗?
答案1
正如您在问题中提到的那样,如果规则上未指定网络,则目标和源标签仅可用于内部使用,If both sourceRanges and sourceTags are specified, an inbound connection is allowed if either the range or the tag of the source matches sourceRanges or sourceTags.因此为了确保安全,请仅在防火墙上允许您的本地网络 IP 范围(您尝试连接的地方)。