在过去的几天里,我的谷歌虚拟机不断遭到入侵,我收到了警告,并且谷歌表示“在虚拟机上发现了加密货币挖掘活动”。我怀疑有人攻击我的虚拟机并进行此活动。所以,现在我想创建一个带有安全SSH防火墙的新VM,这样只有有限的计算机才能访问VM。
我已尝试在防火墙ssh允许规则上设置我的办公室路由器的IP,但在设置此规则后,还可以从其他IP地址建立到VM的SSH连接。我只想在防火墙规则中指定两个IP,但它期望CIDR格式的IP范围(我不清楚)。
我还发现了一些建议,我应该更改VM的ssh端口。
任何人都可以解释一下,当这台计算机连接到路由器并且所有路由器的外部IP都相同时,如何将对我的Google VM的访问限制为仅限于一组特定的计算机?
谢谢
我了解您要创建一个具有安全防火墙SSH的新VM,并希望限制并允许从办公室路由器的特定IP地址进行访问。
为此,您可以创建防火墙规则,如1所述。为了管理特定实例的访问,我建议您使用网络标记来防火墙规则2。
回过头来看,即使您为特定IP地址创建防火墙规则,也可以从其他IP地址建立到VM的SSH连接。原因可能是由于这个原因:
您在GCP中创建的每个项目都带有默认的防火墙规则。因此可能存在一个需要阻止的default-allow-ssh规则,我想这可能会导致问题。请注意,默认网络包含一些覆盖此规则的附加规则,允许某些类型的传入流量。有关详细信息,请参阅附加链接[3] [4]。
[3] https://cloud.google.com/vpc/docs/firewalls#default_firewall_rules [4] https://cloud.google.com/vpc/docs/firewalls#more_rules_default_vpc
您还可以使用例如“iptables”添加来宾级防火墙规则,以便为VM实例添加另一个安全级别。但是,GCP项目级防火墙规则会在网络流量进入VM实例之前检查它们。操作系统防火墙阻止所有互联网流量到任何端口22。
为了允许特定地址能够在VM实例上连接,您可以在“default-allow-ssh”GCP防火墙规则的“IP范围”值上添加/ 32的CIDR。例如,45.56.122.7 / 32和208.43.25.31/32。