Мы переходим на Google Cloud (GCE). У нас есть SFTP-сервер, работающий на Windows Server. Мы хотим перенести это, но у нас должен быть фильтр белого списка и блокировать все другие попытки входа в систему по SSH (я получал обращения через несколько минут после установки, хакеры пытались войти в систему).
Кажется, я не могу сделать это в облачном брандмауэре Google, потому что он не допускает исключения для определенных IP-адресов (либо все, либо ничего).
То же самое и с брандмауэром Windows (у нас работает Server 2016). Вы можете указать разрешающие правила, но это бесполезно, потому что сначала интерпретируются запрещающие правила.
Я смогу установить коммерческий продукт, но первое, что они, кажется, делают, это блокируют ВСЕ, и теперь я даже не могу войти в систему.
Есть совет или рекомендации?
Пункт 9 из документация GCP по созданию правил межсетевого экрана говорит, как указать исходный IP-адрес для правила брандмауэра:
- Для правила Ingress укажите фильтр Source.
Выберите диапазоны IP-адресов, если вы хотите, чтобы правило применялось только к пакетам из определенных диапазонов исходных IP-адресов, затем укажите эти диапазоны в поле «Диапазоны исходных IP-адресов».
Обратите внимание, что некоторые правила по умолчанию существуют, включая правило, разрешающее SSH со всех IP-адресов для всех экземпляров, а также скрытое и неявное правило «запретить все входящие», которое оценивается последним.
В итоге рекомендую редактирование правил вашего брандмауэра.