系统是 Centos 7
用 Docker 创建了容器 A
主机安装了 fail2ban, 并能正确读取和识别容器 A 的异常日志.
自己故意制造异常的情况下,查看 fail2ban 的状态
fail2ban-client status rule
发现自己的 ip 已经被加入到 Banned IP list 中.
但是依然可以访问到容器 A.
之前查过资料 Docker 在 iptables 中创建了一个高优先级的规则, 使得像 firewalld 防火墙创建的规则均对 Docker 的容器无效, 看起来 fail2ban 创建的规则也不行.
请问有遇到过这个问题的各位是怎么解决的?
 |
1
recall704 Mar 25, 2020  1
我记得 docker 走的是 docker-users 这个 chain,不是默认的 linux 的 chain
|
 |
2
Kobayashi Mar 25, 2020 via Android
楼上说的没错,docker 默认监听 0.0.0.0,且修改 iptables 。可以修改配置监听在 127.0.0.1,通过 Nginx TCP 转发暴露出去。
|
Select Language