虽然不是什么大问题,但我有点好奇,为什么在Google Compute Engine上会发生这种情况。我有一个虚拟机,它被设置了防火墙(使用Google Cloud的防火墙),不接受任何来自外部的流量,它只能由一个bastian主机通过ssh到达。
这台机器也在运行iptables,它拒绝所有传入的流量(除了22端口,和建立的相关)。
iptables denied: IN=eth0 OUT= MAC=... SRC=74.125.133.95 DST=10.XXX.XXX.X LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=443 DPT=26920 WINDOW=0 RES=0x00 RST URGP=0
iptables拒绝。IN=eth0 OUT= MAC=... SRC=74.125.133.95 DST=10.XXX.XXX.X LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=443 DPT=26920 WINDOW=0 RES=0x00 RST URGP=0
我明白为什么iptables会记录这个,我的iptables配置基本上是这样的。
*filter
# Allow all loopback (lo0) traffic and drop all traffic to 127/8 that doesn't use lo0
INPUT -i lo -j ACCEPT
INPUT -d 127.0.0.0/8 -j REJECT
# Accept all established inbound connections
INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# Allow all outbound traffic - you can modify this to only allow certain traffic
OUTPUT -j ACCEPT
# Allow SSH connections from bastian network (not between instances)
INPUT -p tcp -m state --state NEW -s 10.XXX.XX.XXX/24 --dport 22 -j ACCEPT
# Allow from google metadata
INPUT -p tcp -s 169.254.169.254/32 -j ACCEPT
# Allow ping
INPUT -p icmp -j ACCEPT
# Log iptables denied calls
INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7
# Drop all other inbound - default deny unless explicitly allowed policy
INPUT -j DROP
FORWARD -j DROP
COMMIT
我的问题是 为什么GCE上的谷歌计算引擎(1e100.net) 试图通过一个未建立的连接进行通信?netstat 显示这些目标端口上没有进程监听。
所有的命令似乎都能正常工作,所以它不会干扰实际的通信。
我猜测它试图与计算引擎虚拟机上的某个服务进行对话(它基于Googles Debian镜像),但这一定是快速旋转了监听器,因为我在netstat中找不到它的任何引用。
祝贺你,Niklas
TL:DR: 1e100.net是谷歌拥有的域名,用于识别其网络中的服务器。
你可以阅读更多关于这个域名在 1e100.net是什么?.
所以,不用担心这个疑问,这只是谷歌云平台上实现的一个自动发现功能。