首页   注册   登录
 Phishion 最近的时间轴更新
今天 shadowsock 的作者被约谈了 不开心
2015-08-21 11:00:13 +08:00

Phishion

V2EX 第 30809 号会员,加入于 2012-12-18 14:47:52 +08:00
今日活跃度排名 16276
根据 Phishion 的设置,主题列表只有在你登录之后才可查看
Phishion 最近回复了
28 天前
回复了 tangbao 创建的主题 iDev Apple 封禁了 Jsbox 开发者的账户
@Mavious UUID ?
[看到这条的朋友请注意] , [看到这条的朋友请注意] , [看到这条的朋友请注意] ,其实是笔记本内部电池膨胀,导致触控板被应力按压造成不好按的现象,如果出现这种情况,请拆下机器排查!!!
50 天前
回复了 Phishion 创建的主题 程序员 请问 Linux 防火墙屏蔽 IP 为什么无效?
最终我还是解决掉了,做法是单独给 nginx404 指定一个动作,2 个规则现在都正确生效,不知道算不算临时解决方案,不过搞定就行。

1. 给 nginxno404 规则指定一个自定义动作
vi /etc/fail2ban/jail.local
[nginxno404]
action = iptables-nginx[name=nginxno404, port=http, protocol=tcp]

2.新建动作页面
复制 /etc/fail2ban/action.d/iptables-common.conf 为 iptables-nginx.conf
承接 iptables.conf,然后将 iptables-common.local 注释掉
再指定 chain name 为 DOCKER-USER

```
vi /etc/fail2ban/action.d/iptables-nginx.conf
[INCLUDES]
before = iptables.conf
after = iptables-blocktype.local
[Init]
chain = DOCKER-USER
```

3. 重启 fail2ban
systemctl restart fail2ban.service
50 天前
回复了 Phishion 创建的主题 程序员 请问 Linux 防火墙屏蔽 IP 为什么无效?
@znood @littlewing
确实出问题了,改成 DOCKER-USER 的话,SSH 规则就失效了,但改成 PREROUTING 所有规则都不会生效,真是伤脑筋。。。
50 天前
回复了 Phishion 创建的主题 程序员 请问 Linux 防火墙屏蔽 IP 为什么无效?
@littlewing
@znood
得,我花时间再看看,目前没啥规则,谢谢大佬指导
50 天前
回复了 Phishion 创建的主题 程序员 请问 Linux 防火墙屏蔽 IP 为什么无效?
@ik @omph @lpvekk @xduanx @Bardon @ladypxy @znood @VD @daviswei @littlewing @artandlol

感谢各位大佬
问题已经解决,排查出是 Docker 的问题,因为宿主机的 80 口映射到容器的 80 端口,所以无论怎么配置 iptables,80 端口都不会受到影响。

应该是 Docker 提前接管了对于端口的访问

解决方法如下:
编辑 /etc/fail2ban/action.d/iptables-common.conf 文件
将 chain = INPUT 改成 chain = DOCKER-USER 这样 fail2ban 生成的 iptables 规则就可以正常生效了。
50 天前
回复了 Phishion 创建的主题 程序员 请问 Linux 防火墙屏蔽 IP 为什么无效?
@daviswei 我在想是不是 Docker 的问题,我的 nginx 是容器,宿主机上的 80 端口实际上是映射到 nginx 容器的 80 端口,是不是因为 Docker 导致所有 80 端口无视 iptable 无条件转发给 nginx
50 天前
回复了 Phishion 创建的主题 程序员 请问 Linux 防火墙屏蔽 IP 为什么无效?
@daviswei 感谢你的帮助
我试了一下,不是代理的问题,我关掉代理也可以访问,和我同一个局域网的手机也可以正常访问,而且 IP 地址实际上是服务端 fail2ban 捕获的,跟我本地的 IP 也吻合。
我不是专业运维,所以不太懂 mangle 这样的问题
50 天前
回复了 Phishion 创建的主题 程序员 请问 Linux 防火墙屏蔽 IP 为什么无效?
@VD 感谢你的回复,IP 是我的外网 IP,iptables -I INPUT 1 -s 182.254.74.167 -j DROP 之后,SSH 会立即断开,但是网页竟然还是正常的,不是内网,我是电信宽带,服务器在美国。

iptables -L -n

```
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP all -- 182.254.74.167 0.0.0.0/0
f2b-nginxno404 tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
DROP all -- 182.254.74.167 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
INPUT_direct all -- 0.0.0.0/0 0.0.0.0/0
INPUT_ZONES_SOURCE all -- 0.0.0.0/0 0.0.0.0/0
INPUT_ZONES all -- 0.0.0.0/0 0.0.0.0/0
DROP all -- 0.0.0.0/0 0.0.0.0/0 ctstate INVALID
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited

Chain FORWARD (policy DROP)
target prot opt source destination
DOCKER-USER all -- 0.0.0.0/0 0.0.0.0/0
DOCKER-ISOLATION-STAGE-1 all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
DOCKER all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
DOCKER all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
FORWARD_direct all -- 0.0.0.0/0 0.0.0.0/0
FORWARD_IN_ZONES_SOURCE all -- 0.0.0.0/0 0.0.0.0/0
FORWARD_IN_ZONES all -- 0.0.0.0/0 0.0.0.0/0
FORWARD_OUT_ZONES_SOURCE all -- 0.0.0.0/0 0.0.0.0/0
FORWARD_OUT_ZONES all -- 0.0.0.0/0 0.0.0.0/0
DROP all -- 0.0.0.0/0 0.0.0.0/0 ctstate INVALID
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
OUTPUT_direct all -- 0.0.0.0/0 0.0.0.0/0

Chain DOCKER (2 references)
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 172.19.0.2 tcp dpt:8080
ACCEPT tcp -- 0.0.0.0/0 172.19.0.2 tcp dpt:8000
ACCEPT tcp -- 0.0.0.0/0 172.19.0.3 tcp dpt:80
ACCEPT tcp -- 0.0.0.0/0 172.19.0.4 tcp dpt:5432

Chain DOCKER-ISOLATION-STAGE-1 (1 references)
target prot opt source destination
DOCKER-ISOLATION-STAGE-2 all -- 0.0.0.0/0 0.0.0.0/0
DOCKER-ISOLATION-STAGE-2 all -- 0.0.0.0/0 0.0.0.0/0
RETURN all -- 0.0.0.0/0 0.0.0.0/0

Chain DOCKER-ISOLATION-STAGE-2 (2 references)
target prot opt source destination
DROP all -- 0.0.0.0/0 0.0.0.0/0
DROP all -- 0.0.0.0/0 0.0.0.0/0
RETURN all -- 0.0.0.0/0 0.0.0.0/0

Chain DOCKER-USER (1 references)
target prot opt source destination
RETURN all -- 0.0.0.0/0 0.0.0.0/0

Chain FORWARD_IN_ZONES (1 references)
target prot opt source destination
FWDI_public all -- 0.0.0.0/0 0.0.0.0/0 [goto]
FWDI_public all -- 0.0.0.0/0 0.0.0.0/0 [goto]

Chain FORWARD_IN_ZONES_SOURCE (1 references)
target prot opt source destination

Chain FORWARD_OUT_ZONES (1 references)
target prot opt source destination
FWDO_public all -- 0.0.0.0/0 0.0.0.0/0 [goto]
FWDO_public all -- 0.0.0.0/0 0.0.0.0/0 [goto]

Chain FORWARD_OUT_ZONES_SOURCE (1 references)
target prot opt source destination

Chain FORWARD_direct (1 references)
target prot opt source destination

Chain FWDI_public (2 references)
target prot opt source destination
FWDI_public_log all -- 0.0.0.0/0 0.0.0.0/0
FWDI_public_deny all -- 0.0.0.0/0 0.0.0.0/0
FWDI_public_allow all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0

Chain FWDI_public_allow (1 references)
target prot opt source destination

Chain FWDI_public_deny (1 references)
target prot opt source destination

Chain FWDI_public_log (1 references)
target prot opt source destination

Chain FWDO_public (2 references)
target prot opt source destination
FWDO_public_log all -- 0.0.0.0/0 0.0.0.0/0
FWDO_public_deny all -- 0.0.0.0/0 0.0.0.0/0
FWDO_public_allow all -- 0.0.0.0/0 0.0.0.0/0

Chain FWDO_public_allow (1 references)
target prot opt source destination

Chain FWDO_public_deny (1 references)
target prot opt source destination

Chain FWDO_public_log (1 references)
target prot opt source destination

Chain INPUT_ZONES (1 references)
target prot opt source destination
IN_public all -- 0.0.0.0/0 0.0.0.0/0 [goto]
IN_public all -- 0.0.0.0/0 0.0.0.0/0 [goto]

Chain INPUT_ZONES_SOURCE (1 references)
target prot opt source destination

Chain INPUT_direct (1 references)
target prot opt source destination

Chain IN_public (2 references)
target prot opt source destination
IN_public_log all -- 0.0.0.0/0 0.0.0.0/0
IN_public_deny all -- 0.0.0.0/0 0.0.0.0/0
IN_public_allow all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0

Chain IN_public_allow (1 references)
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 ctstate NEW

Chain IN_public_deny (1 references)
target prot opt source destination

Chain IN_public_log (1 references)
target prot opt source destination

Chain OUTPUT_direct (1 references)
target prot opt source destination

Chain f2b-nginxno404 (1 references)
target prot opt source destination
REJECT all -- 182.254.74.167 0.0.0.0/0 reject-with icmp-port-unreachable
RETURN all -- 0.0.0.0/0 0.0.0.0/0
```
50 天前
回复了 Phishion 创建的主题 程序员 请问 Linux 防火墙屏蔽 IP 为什么无效?
@znood 我开没启用 https,目前访问都是 80 的
关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   930 人在线   最高记录 5043   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.3 · 9ms · UTC 19:15 · PVG 03:15 · LAX 12:15 · JFK 15:15
♥ Do have faith in what you're doing.