Direcciones IP salientes para servicios de App Engine

Los servicios salientes, como las API de URL Fetch, Sockets y correo electrónico, usan un gran conjunto de direcciones IP. Los rangos de direcciones IP en este grupo están sujetos a cambios de rutina. De hecho, puede parecer que dos llamadas a la API secuenciales desde la misma aplicación se originan en dos direcciones IP diferentes.

Si deseas encontrar los rangos actuales de direcciones IP que App Engine usa para el tráfico saliente, haz lo siguiente:

  1. En una shell de comandos, ingresa el siguiente comando:
    nslookup -q=TXT _cloud-netblocks.googleusercontent.com 8.8.8.8

    La respuesta contiene todos los _cloud-netblocks actuales para App Engine. Por ejemplo:

    Non-authoritative answer:
    _cloud-netblocks.googleusercontent.com  text = "v=spf1 include:_cloud-netblocks1.googleusercontent.com include:_cloud-netblocks2.googleusercontent.com include:_cloud-netblocks3.googleusercontent.com include:_cloud-netblocks4.googleusercontent.com include:_cloud-netblocks5.googleusercontent.com ?all"

    Estos resultados no son estáticos. Cuando ingresas el comando, es posible que veas más o menos netblocks que en el ejemplo anterior.

  2. Para cada netblock que aparezca en la respuesta, ingresa la siguiente consulta:
    nslookup -q=TXT netblock-name 8.8.8.8

    Por ejemplo, si la consulta anterior mostró cinco netblocks, tendrías las siguientes cinco consultas:

    nslookup -q=TXT _cloud-netblocks1.googleusercontent.com 8.8.8.8
    nslookup -q=TXT _cloud-netblocks2.googleusercontent.com 8.8.8.8
    nslookup -q=TXT _cloud-netblocks3.googleusercontent.com 8.8.8.8
    nslookup -q=TXT _cloud-netblocks4.googleusercontent.com 8.8.8.8
    nslookup -q=TXT _cloud-netblocks5.googleusercontent.com 8.8.8.8

Cada consulta de un netblock específico muestra un rango de IP que puedes usar para el tráfico saliente de App Engine. Por ejemplo, la consulta de _cloud-netblocks1 anterior podría mostrar la siguiente respuesta:

Non-authoritative answer:
_cloud-netblocks1.googleusercontent.com text = "v=spf1 include:_cloud-netblocks6.googleusercontent.com include:_cloud-netblocks7.googleusercontent.com ip6:2600:1900::/35 ip4:8.34.208.0/20 ip4:8.35.192.0/21 ip4:8.35.200.0/23 ip4:23.236.48.0/20 ip4:23.251.128.0/19 ip4:34.64.0.0/11 ip4:34.96.0.0/14 ?all"

En este ejemplo, vemos que ambos rangos de IP, 8.34.208.0/208.35.192.0/21, se pueden usar para el tráfico de App Engine. Otras consultas sobre los netblocks adicionales pueden mostrar rangos de IP adicionales.

Ten en cuenta que el uso del filtrado de direcciones IP estáticas no se considera un medio de protección seguro y efectivo. Por ejemplo, un atacante podría configurar una aplicación de App Engine maliciosa que podría compartir el mismo rango de direcciones IP que tu aplicación. En cambio, te sugerimos que adoptes un enfoque de defensa en profundidad con OAuth y Certs.