Google Cloud Platform - knockd schlägt aufgrund der Überwachung der internen IP fehl

Ich versuche, das Port-Knocking für SSH-Verbindungen mit knockd unter Debian 9 auf einem Google Cloud Platform-Server einzurichten.

Ich habe in der Vergangenheit auf vielen Servern erfolgreich das Klopfen von Ports eingerichtet, aber dies ist mein erster Versuch auf einem GCP-Server.

Meine anfängliche Einrichtung führte zu erfolglosen Ergebnissen. Die Überwachung der Protokolle der Knockd-Dienste ergab, dass die Knocks auf der Serverseite nicht angezeigt wurden.

Laufen klopfte mit --verbose --debug zeigt, dass die Local IP set ist die interne Adresse des Servers. Beim Lesen einiger Google-Dokumente sehe ich den Grund eth0 Zeigt an, dass nur meine interne IP-Adresse auf die Netzwerkeinrichtung zurückzuführen ist, die in GCP VM-Instanzen verwendet wird.

Wie kann ich SSH-Port-Knocking auf meinem GCP-Server erreichen, wenn das Netzwerk und die Firewall von Google verwaltet werden?

— Charles
quelle

Versuchen Sie, diese Frage bei Serverfault zu stellen.

— Alex

Gute Idee, nicht sicher, warum ich automatisch hier gepostet habe. Möglicherweise habe ich es bereits geklärt. Es hat mit den Netzwerk- und Firewall-Grundlagen von GCP zu tun. Sobald ich die relevanten Ports festgelegt habe, kann knockd die Klopfen sehen und gehe davon aus, dass die externe IP in übersetzt wird die interne.

— Charles

Neugierig: Warum sollte man sich die Mühe machen, am Hafen anzuklopfen? Warum nicht einfach Schlüssel verwenden, die effektiv unzerbrechlich sind?

— Alex

Auf meinem System klopft der Port zusätzlich zu den SSH-Schlüsseln. SSH-Schlüssel sind möglicherweise unzerbrechlich, der SSH-Daemon selbst kann jedoch Sicherheitslücken aufweisen. Durch das Anklopfen von Ports kann ich die meiste Zeit alle Ports geschlossen lassen.

— Charles