我目前正在启用 Docker 提供程序的 digitalocean 实例上使用 Traefik。它可以很好地与多个容器(前端和后端)配合使用。问题是大多数 DO IP 都被回收了,我尝试过的几个 DO IP 不断收到试图“连接”我的根 IP 的嘈杂流量。我尝试到处搜索,但似乎 DO 防火墙不支持“拒绝”规则,并且 Traefik 绕过了本地 UFW 设置,因为一切都通过 Docker。有没有关于如何使用此设置将一些不良 IP 列入黑名单的建议?我的 Traefik“健康”仪表板毫无用处,因为 307 个请求比常规流量大很多倍。
谢谢你!
答案1
看起来“目前”使用 Traefik 是不可能的:https://github.com/containous/traefik/pull/4454
所以你需要像 fail2ban 这样的东西。
答案2
建议使用 iptables 中的 DOCKER-USER 表来更新 Docker 发布端口上的防火墙。您需要使用 conntrack 来过滤已发布的端口,而不是 Docker 在过滤规则运行之前将其更改为的容器端口:
iptables -I DOCKER-USER -i eth0 ! -s 10.0.0.0/24 -p tcp \
-m conntrack --ctorigdstport 8080 -j DROP
在上面的例子中,在接口上eth0,不是来自 C 类10.0.0.0/24子网、到发布端口 8080 的请求将被丢弃。