nginx-http-auth我已经在 Amazon Linux 2 上设置了 Fail2Ban,使用此覆盖配置启用内置监狱:
[nginx-http-auth]
enabled = true
action = iptables[name=HTTPS, port=https, protocol=tcp]
logpath = <snip>/logs/*error*.log
findtime = 15m
bantime = 15m
maxretry = 5
动作正在触发,我得到以下条目iptables -S:
-A f2b-HTTPS -s 120.<snip>.122/32 -j REJECT --reject-with icmp-port-unreachable
但是,我可以继续从被禁止的 IP 发出新的 HTTPS 请求,这些 IP 正在接收来自 Nginx 的 401 响应。我已经从两个 IP 地址复制 - 我的手机和另一个 EC2 主机。
这是完整的输出iptables -L:(注意:Nginx 在 Docker 中运行,另外两个与本地网络隔离的容器也是如此)
Chain INPUT (policy ACCEPT)
target prot opt source destination
f2b-HTTPS tcp -- anywhere anywhere tcp dpt:https
Chain FORWARD (policy DROP)
target prot opt source destination
DOCKER-USER all -- anywhere anywhere
DOCKER-ISOLATION-STAGE-1 all -- anywhere anywhere
ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHED
DOCKER all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHED
DOCKER all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain DOCKER (2 references)
target prot opt source destination
ACCEPT tcp -- anywhere ip-192-168-208-2.ap-southeast-2.compute.internal tcp dpt:webcache
Chain DOCKER-ISOLATION-STAGE-1 (1 references)
target prot opt source destination
DOCKER-ISOLATION-STAGE-2 all -- anywhere anywhere
DROP all -- !ip-192-168-192-0.ap-southeast-2.compute.internal/20 anywhere
DROP all -- anywhere !ip-192-168-192-0.ap-southeast-2.compute.internal/20
DROP all -- !ip-192-168-176-0.ap-southeast-2.compute.internal/20 anywhere
DROP all -- anywhere !ip-192-168-176-0.ap-southeast-2.compute.internal/20
DOCKER-ISOLATION-STAGE-2 all -- anywhere anywhere
RETURN all -- anywhere anywhere
Chain DOCKER-ISOLATION-STAGE-2 (2 references)
target prot opt source destination
DROP all -- anywhere anywhere
DROP all -- anywhere anywhere
RETURN all -- anywhere anywhere
Chain DOCKER-USER (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere
Chain f2b-HTTPS (1 references)
target prot opt source destination
REJECT all -- 120.<snip>.122 anywhere reject-with icmp-port-unreachable
RETURN all -- anywhere anywhere
为什么 iptable 规则不停止 HTTPS 请求?
我是否需要以某种方式更改我的 fail2ban 配置以使其正常工作?
正如@tater 在上面的评论中所指出的,fail2ban 默认将自己插入到 INPUT 链中,但是到 Docker 容器的流量是使用 FORWARD 链路由的,该链在路由时不会触及 INPUT 链。你可以在这里看到:
我们可以通过在 FORWARD 链中插入类似的 fail2ban 规则来测试让 fail2ban 与 Docker 一起使用,如下所示(注意:这不是长期解决方案):
在英语中,这个命令说“插入到 FORWARD 链的位置 1(即第一条规则),对于 TCP 协议上的所有流量,对
f2b-HTTPS链的引用”,其效果是包含该链的所有规则位置。之后,FORWARD 链应该在顶部包含新规则:
然后,fail2ban 在 f2b-HTTPS 链下自动管理的规则用于拒绝发往 Docker 的流量。
但是,我们希望 fail2ban 自动为我们执行此操作,而不必创建我们自己的 iptables 规则。然后,解决方案是在以下文件中的 jail 配置中添加第二个操作
jail.d/:只添加
chain=FORWARD到我的原始规则可能就足够了,但我决定也保留 INPUT 规则。注意:规则中的端口
iptables-forward是 8080,因为这是我的 Docker 容器正在侦听的位置,并且它是 iptables 在 FORWARD 规则(似乎)上匹配的目标转发端口,而不是入站端口。我在解决这个问题时发现了另外两件事:
sudo service docker restart。)为了克服这个问题,你需要在 Docker 建立网络后启动 fail2ban。我通过以下方式更改“/etc/lib/systemd/system/fail2ban.service”来做到这一点:[Service]内容以等待端口 443 打开:ExecStartPre=/bin/bash -c '(while ! nc -z -v -w1 localhost 443 > /dev/null; do echo "Waiting for port 443 to open..."; sleep 2; done); sleep 2'nc安装)