web-dev-qa-db-ja.com

Google ComputeEngineファイアウォールとIpTables

私はサーバー管理に非常に慣れていませんが、Google ComputeEngineを使用してLinodeやDigitalOceanと同じようにウェブサイトをホストできることを発見しました。 Google ComputeEngineを使用したファイアウォールの設定に関連する次の質問についてはよくわかりません。

1)Google Compute Engineには、インスタンスごとに使用できるファイアウォール設定が付属しているようです。したがって、この場合、GCEでNginx Webサーバーを使用してCentOをセットアップするときに、iptableのポートを開いたり閉じたりする必要がないということですか?

2)Google Compute Engineがiptablesと同じ仕事をする場合、GCEファイアウォールへのNullパケットのブロック、Syn-Flood攻撃の拒否、XMASパケットの拒否などの特別なファイアウォールルールを設定する必要がありますか、それとも不要ですか?

centosiptablesgooglegoogle-compute-enginesyn
1
Neel

GCEファイアウォールはプロジェクトレベルで機能し、IPtablesはOSレベルで機能します。インスタンスが着信接続を確認するには、両方のファイアウォールで許可されている必要があります。

  1. GCEファイアウォールは、ファイアウォールルールで明示的に許可されていない限り、デフォルトでインスタンスへのすべての着信トラフィックをブロックします。ルールは、IP範囲、プロトコルのリスト(ICMP、TCPおよびUDP))、およびポートのリストからの着信トラフィックを許可し、タグを使用していくつかのインスタンスに制限できます。
  2. GCEファイアウォールはIPtablesほど柔軟ではなく、これには適していません。代わりに、GCEファイアウォールは、ファイアウォールの90%のユースケースに焦点を当てています。インスタンスへの不正な着信接続を回避します。

簡単な紹介については ここ を、GCEファイアウォールルールで可能なすべての可能性については ここ をご覧ください。

3
Antxon