Fail2ban配合Docker使用解决暴力破解
fail2ban 正常使用可以参考 使用Fail2ban抵御暴力破解和cc攻击,但是对于使用了 Docker host 网络的容器来说是不生效的。原因最后说, 我们先复原一下部署情况
环境现状
服务器是我自己的服务器,使用 Nginx 做入口,反向代理到不同的后端,后端服务和 Nginx 都是运行在 Docker 里,使用 Docker 的自定义网络进行互联。其中 Nginx 容器使用的是 Host 网络
配置 fail2ban
确定 Docker 版 Nginx 日志路径
Linux 内一切皆文件,Docker 会将日志写入到主机的一个日志文件中。通过
1 | docker inspect nginx --format "{{.LogPath}}" |
可以查看到容器的日志位置
创建配置文件 /etc/fail2ban/jail.d/nginx-cc.conf
1 | [nginx-cc] |
创建配置文件 /etc/fail2ban/filter.d/nginx-cc.conf
1 | [Definition] |
复现问题
照此配置后,多次访问后,查看 fail2ban-client status nginx-cc,此时 fail2ban 已经显示 ip 被 ban 了:
查看 iptables 规则:
也已经 REJECT 了,但是并没有效果。
原因分析
原因是 fail2ban 作用于 INPUT 链,而 Docker Host 走的是 Forward 链。
解决方案
在 /etc/fail2ban/jail.d/nginx-cc.conf 里增加一行配置,指定作用于哪个链。
完整配置如下:
1 | [nginx-cc] |
执行
1 | fail2ban-client reload |
重新加载配置。此时发生 ban ip,再次查看 iptables 规则:
已经作用于 DOCKER-USER 链
allport 封禁不生效
在 docker 环境下, 需要对通过 docker 转发的所有端口进行封禁的操作, 可以指定作用于 forward 链
1 | [gitea-docker] |
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 杂烩饭!
相关推荐
2024-10-31
使用Fail2ban抵御暴力破解和cc攻击
fail2ban 是一款防止暴力破解和 cc 攻击的开源工具,采用 Python 编写。 常用组件 工具 作用 fail2ban-client 客户端工具 fail2ban-regex 验证正则匹配 1234567891011# 查看启用的规则fail2ban-client status# 查看规则详情fail2ban-client status sshd# 重新加载配置fail2ban-client reload# 手动解禁IPfail2ban-client set sshd unbanip 192.168.1.1 配置文件目录 作用 /etc/fail2ban/jail.d ban 的规则,如多少次触发,触发后封禁多久等 /etc/fail2ban/filter.d 过滤规则,匹配日志的正则配置 规则测试创建配置文件 /etc/fail2ban/jail.d/nginx-cc.conf 123456789[nginx-cc]enabled = trueport =...
2024-10-31
fail2ban配合cloudflare cdn使用
Cloudflare 是一家全球最著名的 CDN 加速服务商,提供了免费和付费的网站加速和保护服务。即使是免费版,也提供了比较全面和强大的功能,非常不错。 通过使用 Cloudflare CDN 服务提供的全球节点,一方面可以提高网站响应速度和性能,节省源站资源;另一方面也可以保护站点抵御攻击,保证网站长期稳定在线。 fail2ban 是一个开源工具, 它通过分析日志, 将不满足要求的访问 (比如 cc 攻击、对网站进行扫描等) 的 ip 获取到, 通过自带防火墙 (iptables 等) 进行封禁. 问题一: 如何让 fail2ban 获取真实 IP 想要通过 fail2ban 来封禁 ip, 那么先要获取到用户 (或黑客) 的 ip, 如果不进行处理, 那么大概率你获取到的是 cloudflare 请求你用的 ip, 封禁这个 ip 是没有意义的… 我的服务架构是 cloudflare –> nginx –> 后端服务 在 nginx 上面配置 123456789101112131415server { ... # 这里设置一下Real_IP变量,...
2024-10-31
Iptables进行持久化配置,重启不丢失
操作文档针对 ubuntu20 和 centos 系统,其他系统类似。iptables-save 命令其实只是把配置文件打印出来,并不会真的 save,这个有点容易让人误解。 针对 ubuntu 平台ubuntu20 需要安装 iptables-persistent 才能实现持久化 1apt install iptables-persistent 持久化的配置文件保存在 12345# 针对ipv4/etc/iptables/rules.v4# 针对ipv6/etc/iptables/rules.v6 手动保存当前配置 12345# 针对ipv4sudo iptables-save > /etc/iptables/rules.v4# 针对ipv6sudo ip6tables-save > /etc/iptables/rules.v6 针对 centos 平台安装包 iptables-services 1sudo dnf install...
2024-10-31
使用iptables做4层端口转发
用途:有两台机器,需要用其中的一台机器做跳板,转发另一台机器一个特定的端口,机器列表如下 机器 IP iptables 机器 10.0.0.41 web 服务器 10.0.0.42:8000 开启内核转发功能临时开启永久开启1sudo sysctl -w net.ipv4.ip_forward=1 或者 1echo "1" > /proc/sys/net/ipv4/ip_forward1234567sudo vim /etc/sysctl.conf# 保证是这个配置net.ipv4.ip_forward=1# 立即生效sudo sysctl -p 本地端口转发到本地端口12# 访问本地的2222端口,转发到本地的22端口iptables -t nat -A PREROUTING -p tcp --dport 2222 -j REDIRECT --to-port 22 转发请求到目标主机这是通过本主机做一个跳转,比如访问 A 的 80 端口转发到 B 的 8000 端口 1234iptables -t nat -A...
2024-10-31
调整Docker容器内的时区
容器内的时区问题会影响到服务打印的日志, 所以设置时区是很有必要的, 设置容器内时区的方法一般有: 设置 TZ 环境变量 挂载主机的时区文件 直接修改镜像的 dockerfile,将时区默认配置在镜像里 设置 TZ 环境变量docker 环境下, 增加 -e 参数: 1docker run --name test --rm -ti -e TZ=Asia/Shanghai debian date 这种方法也可以写在 Dockerfile 里面, 增加一行: 1ENV TZ Asia/Shanghai 经测试: Debian CentOS 镜像可以支持这种方案Ubuntu Alpine 不支持这种方案 挂载主机的 timezone 和 localtimeDocker 环境下, 增加 -v 参数: 1docker run --name test --rm -ti -v /etc/timezone:/etc/timezone:ro -v /etc/localtime:/etc/localtime:ro alpine date 适用于大部分镜像, 特点是和主机保持一致,...
评论
公告
此博客为我记录运维工作总结所用,供网友阅读参考,如有侵权,请通知我,我会核实后进行处理。
欢迎加入技术交流群:
