Я установил ниже на своем домашнем сервере, и у меня есть проблема, чтобы заблокировать внешнее подключение к моему owncloud (docker).
Ниже приведены настройки моей среды.
Ubuntu Server 18.0.4
Fail2Ban 0.10.2
Docker 19.03.8
ownCloud 10.3.2.2 (in docker)
I настроили fail2ban для проверки файла журнала owncloud и обнаружения неудачного входа в систему. он может правильно определять и блокировать IP-адрес в fail2ban.
Если я использую свой внутренний IP-адрес, он может правильно заблокировать доступ к собственному облаку. Однако, если я использую внешнее соединение с внешним IP-адресом, fail2ban может обнаружить его и пометить, чтобы заблокировать этот внешний IP-адрес, но кажется, что iptables не будет блокироваться и go включен, чтобы разрешить доступ.
Ниже мой результат статуса.
$ sudo fail2ban-client status owncloud
Status for the jail: owncloud
|- Filter
| |- Currently failed: 1
| |- Total failed: 45
| `- File list: /home/ubuntu/owncloud/owncloud.log
`- Actions
|- Currently banned: 3
|- Total banned: 4
`- Banned IP list: 152.0.158.112 152.0.153.189 192.168.1.20
Я вижу, что он уже заблокировал IP-адрес 152.0.158.112, 152.0.153.189 и 192.168.1.20
устройство с IP-адресом 192.168.1.20 не будет может получить доступ к owncloud на любом другом устройстве с IP-адресом 152.0.158.112 или 152.0.153.189, которое будет go включено для доступа к owncloud
Ниже приведен список цепочек iptables.
$ sudo iptables -L DOCKER-USER
Chain DOCKER-USER (1 references)
target prot opt source destination
f2b-owncloud tcp -- anywhere anywhere
RETURN all -- anywhere anywhere
$ sudo iptables -L f2b-owncloud
Chain f2b-owncloud (1 references)
target prot opt source destination
REJECT all -- 192.168.1.20 anywhere reject-with icmp-port-unreachable
REJECT all -- 152.0.158.112 anywhere reject-with icmp-port-unreachable
REJECT all -- 152.0.153.189 anywhere reject-with icmp-port-unreachable
RETURN all -- anywhere anywhere
RETURN all -- anywhere anywhere
RETURN all -- anywhere anywhere
Что-то не так? на iptables?
На самом деле я пытался добавить приведенное ниже правило напрямую на DOCKER -USER, но устройство с внешним IP-адресом все еще может получить доступ к моему собственному облаку.
$ sudo iptables -I DOCKER-USER -i eth0 -s 152.0.158.112 -j REJECT
Пожалуйста, сообщите .