fail2ban 加了 cdn 怎么 ban

2022-12-30 04:07:57 +08:00
 glouhao
诸位大神,套了 cdn 应该是只能通过 cdn 屏蔽 ip 才管用了吧?网上只找到了配合 cf 的用法。有么有配合别的 cdn 的用法呢?比如亚马逊的 cft 国内速度该可以,还有国内的各种 cdn ,有没有接口可以用?
1120 次点击
所在节点    问与答
9 条回复
dingwen07
2022-12-30 07:36:21 +08:00
fail2ban 不是防止暴力破解密码的吗
但是实践中应该禁止密码登录的
AS4694lAS4808
2022-12-30 07:50:19 +08:00
这种情况不应该用 fail2ban 。虽然设置一下 log 格式可以从 nginx 的 access_log 里区分出流量类型,但是设置比较麻烦,而且会造成所有外部访问的 ip 直接被完全屏蔽掉。合理的方式是检查来源的 http 头,比如 aws cf 的 OAI 头,其他的参考各云厂商的文档。主要原理是 cdn 收到请求后会在请求中加内部头给源检验,这个头类似于约定好的静态 token ,有的也可以改成动态的。
glouhao
2022-12-30 08:03:55 +08:00
@dingwen07 是的呢,防止 wp 被破解外加 4xx 之类的乱七八糟请求。
glouhao
2022-12-30 08:37:06 +08:00
试了下,ssh 换了端口还是检测的,还是会加到 ban 列表里,默认规则好像还是封 22 ,需要修改下。但是没必要,一晚上就我自己测试的被封了。换端口真的不错。
msg7086
2022-12-30 10:32:37 +08:00
@dingwen07 不是。fail2ban 是通过规则匹配「 fail 」然后执行「 ban 」的软件,从来不是只能用于防止破解密码的。
只要你有办法定义「 fail 」的规则和「 ban 」的动作就行。
比如你写了个搜索引擎 API ,但是搜索小电影的你想要 ban 掉,那么就可以用 rule 去检查 nginx 的 access log ,找到搜索 /\w+-\d+/的访问记录,然后把 IP 加到 iptables 列表里 drop 掉。
glouhao
2022-12-30 13:44:51 +08:00
@msg7086 大佬有没有国内 cdn 解决方案
msg7086
2022-12-30 14:33:41 +08:00
@glouhao 抱歉不太清楚。
revlis7
2022-12-30 15:35:50 +08:00
gdefw
2023-02-18 15:01:13 +08:00
@revlis7 试了一下,nginx 中记录的 log 里确实是真实 ip ,这样 fail2ban ban 的 ip 也是真实的,但实际请求的 ip 是 cdn 代理过的,还是封不了

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/905489

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX