Portas abertas no Google Cloud Load Balancer

Parece que, por padrão, os balanceadores de carga do Google Cloud expõem várias portas desnecessariamente. Não encontrei uma maneira de expor apenas 80/443 e toda vez que faço um de seus balanceadores de carga, as seguintes portas são vistas em um nmap:

PORT     STATE  SERVICE
25/tcp   open   smtp
80/tcp   open   http
110/tcp  open   pop3
143/tcp  open   imap
443/tcp  open   https
465/tcp  open   smtps
587/tcp  open   submission
993/tcp  open   imaps
995/tcp  open   pop3s
1720/tcp open   H.323/Q.931
8080/tcp open   http-proxy

Existe uma maneira de bloquear 25, 465, 587, 993 e 995? Observe que esta pergunta é sobre balanceadores de carga GCP, não firewalls.

Você não pode adicionar denyregras ao firewall do GC. A política padrão é Deny. Você só pode adicionar allowregras - permita que tudo que você precisa e que todo o resto seja rejeitado.

Como as portas que você precisa bloquear são permitidas por padrão, basta removê-las. Verifique o nome da regra padrão:

gcloud compute firewall-rules list [NAME …] [--regexp=REGEXP, -r REGEXP] [--filter=EXPRESSION] [--limit=LIMIT] [--page-size=PAGE_SIZE] [--sort-by=[FIELD,…]] [--uri] [GLOBAL-FLAG …]

e exclua-o com:

gcloud compute firewall-rules delete NAME [NAME …] [GLOBAL-FLAG …]

Você pode verificar aqui para obter explicações mais detalhadas sobre como lidar com o firewall do Google Cloud.

Atualmente, não é possível restringir as portas e os protocolos de um balanceador de carga GCP usados ​​como você pode com um AWS ELB. Esta é uma solicitação de recurso. https://issuetracker.google.com/issues/35904903

Também procurei por isso, mas acho que não, pois estas são as portas usadas pelo Google para executar o LB:

As solicitações HTTP podem ser balanceadas em carga com base na porta 80 ou 8080. As solicitações HTTPS podem ser balanceadas em carga na porta 443.

O balanceamento de carga de proxy TCP suporta as seguintes portas: 25, 43, 110, 143, 195, 443, 465, 587, 700, 993, 995, 1883, 5222

De: GCP HTTP (S) LB e GCP TCP LB

informações de: https://cloud.google.com/load-balancing/docs/https#open_ports

Portas abertas Os balanceadores de carga HTTP (S) externos são balanceadores de carga de proxy reverso. O balanceador de carga finaliza as conexões de entrada e abre novas conexões do balanceador de carga para os back-ends. A funcionalidade de proxy reverso é fornecida pelo Google Front Ends (GFEs).

As regras de firewall que você define bloqueiam o tráfego dos GFEs para os back-end, mas não bloqueiam o tráfego recebido para os GFEs.

Os balanceadores de carga HTTP (S) externos têm várias portas abertas para oferecer suporte a outros serviços do Google executados na mesma arquitetura. Se você executar uma verificação de segurança ou porta no endereço IP externo de um balanceador de carga HTTP (S) externo do Google Cloud, portas adicionais parecerão abertas.

Isso não afeta os balanceadores de carga HTTP (S) externos. As regras de encaminhamento externo, usadas na definição de um balanceador de carga HTTP (S) externo, podem fazer referência apenas às portas TCP 80, 8080 e 443. O tráfego com uma porta de destino TCP diferente não é encaminhado para o back-end do balanceador de carga.