IBM Cloudではセキュリティグループ(簡易FW)があるので、セットアップをした。
ところが、いつまで経ってもnmapでのスキャンができるしRDPのポートを閉じたはずなのにつながってしまう。
いくつかの試行錯誤とドキュメントの読み込みから分かったのは、一度以上、Inbound, Outbound「それぞれ」で何かしらの設定をしないと効かないということ。
公式ドキュメントには、一度セキュリティグループを適用するとそれ以降有効になって、明示的にAllowしたもの以外通らない、って書いてあるのにその通り動かなくて困ってしまっていた。
OutboundはすべてOK、Inboundは一切不可、を設定するため、Outbound側にはAllowの設定を入れた。
想定ではこれによりセキュリティグループが有効になりInboundはAllowを何もしていないからすべてDenyになると思っていた。
が、実態としては、Outboundにだけルールを設定していて、Inboundになにも許可の設定を一度もしていないと、Outboundのセキュリティグループは有効になるが、Inboundのセキュリティグループは有効にはならない模様。
インスタンスのネットワークインタフェーズのIn/Outそれぞれで別で管理されているのね。(=適用すると有効になる、のは各インタフェースのIn、Outそれぞれにかかっていたということか……)
なので、一度任意のポートなりなんなりのInboundがAllowになるような設定を入れてからそれを消せば、期待通り全てのInboundがブロックされるようになる。
大した話じゃないけど地味に手強かった。
About IBM Security Groups https://cloud.ibm.com/docs/security-groups?topic=security-groups-about-ibm-security-groups#about-ibm-security-groups