V2EX › Phishion 的所有回复 › 第 30 页 / 共 36 页

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

1 ... 22 23 24 25 26 27 28 29 30 31 ... 36

❮

❯

2019-10-15 14:47:01 +08:00

回复了 Phishion 创建的主题 › 全球工单系统 › 多看阅读：是不是 iOS 用户就高级一些？

@jy02201949 看这个样子，恐怕多看的主力用户跟 E-Ink 的主力用户并不重合。

2019-08-24 21:44:49 +08:00

回复了 tangbao 创建的主题 › iDev › Apple 封禁了 Jsbox 开发者的账户

@Mavious UUID ？

2019-08-16 19:16:36 +08:00

回复了 Phishion 创建的主题 › MacBook › 老款的 macbook pro 触摸板（非 Force Touch 款）上方是按不下去的？

[看到这条的朋友请注意] ， [看到这条的朋友请注意] ， [看到这条的朋友请注意] ，其实是笔记本内部电池膨胀，导致触控板被应力按压造成不好按的现象，如果出现这种情况，请拆下机器排查！！！

2019-08-02 21:25:32 +08:00

回复了 Phishion 创建的主题 › 程序员 › 请问 Linux 防火墙屏蔽 IP 为什么无效？

最终我还是解决掉了，做法是单独给 nginx404 指定一个动作，2 个规则现在都正确生效，不知道算不算临时解决方案，不过搞定就行。

1. 给 nginxno404 规则指定一个自定义动作
vi /etc/fail2ban/jail.local
[nginxno404]
action = iptables-nginx[name=nginxno404, port=http, protocol=tcp]

2.新建动作页面
复制 /etc/fail2ban/action.d/iptables-common.conf 为 iptables-nginx.conf
承接 iptables.conf，然后将 iptables-common.local 注释掉
再指定 chain name 为 DOCKER-USER

```
vi /etc/fail2ban/action.d/iptables-nginx.conf
[INCLUDES]
before = iptables.conf
after = iptables-blocktype.local
[Init]
chain = DOCKER-USER
```

3. 重启 fail2ban
systemctl restart fail2ban.service

2019-08-02 19:49:52 +08:00

回复了 Phishion 创建的主题 › 程序员 › 请问 Linux 防火墙屏蔽 IP 为什么无效？

@znood @littlewing
确实出问题了，改成 DOCKER-USER 的话，SSH 规则就失效了，但改成 PREROUTING 所有规则都不会生效，真是伤脑筋。。。

2019-08-02 19:25:20 +08:00

回复了 Phishion 创建的主题 › 程序员 › 请问 Linux 防火墙屏蔽 IP 为什么无效？

@littlewing
@znood
得，我花时间再看看，目前没啥规则，谢谢大佬指导

2019-08-02 18:54:35 +08:00

回复了 Phishion 创建的主题 › 程序员 › 请问 Linux 防火墙屏蔽 IP 为什么无效？

@ik @omph @lpvekk @xduanx @Bardon @ladypxy @znood @VD @daviswei @littlewing @artandlol

感谢各位大佬
问题已经解决，排查出是 Docker 的问题，因为宿主机的 80 口映射到容器的 80 端口，所以无论怎么配置 iptables，80 端口都不会受到影响。

应该是 Docker 提前接管了对于端口的访问

解决方法如下：
编辑 /etc/fail2ban/action.d/iptables-common.conf 文件
将 chain = INPUT 改成 chain = DOCKER-USER 这样 fail2ban 生成的 iptables 规则就可以正常生效了。

2019-08-02 14:38:46 +08:00

回复了 Phishion 创建的主题 › 程序员 › 请问 Linux 防火墙屏蔽 IP 为什么无效？

@daviswei 我在想是不是 Docker 的问题，我的 nginx 是容器，宿主机上的 80 端口实际上是映射到 nginx 容器的 80 端口，是不是因为 Docker 导致所有 80 端口无视 iptable 无条件转发给 nginx

2019-08-02 14:18:28 +08:00

回复了 Phishion 创建的主题 › 程序员 › 请问 Linux 防火墙屏蔽 IP 为什么无效？

@daviswei 感谢你的帮助
我试了一下，不是代理的问题，我关掉代理也可以访问，和我同一个局域网的手机也可以正常访问，而且 IP 地址实际上是服务端 fail2ban 捕获的，跟我本地的 IP 也吻合。
我不是专业运维，所以不太懂 mangle 这样的问题

2019-08-02 13:58:19 +08:00

回复了 Phishion 创建的主题 › 程序员 › 请问 Linux 防火墙屏蔽 IP 为什么无效？

@VD 感谢你的回复，IP 是我的外网 IP，iptables -I INPUT 1 -s 182.254.74.167 -j DROP 之后，SSH 会立即断开，但是网页竟然还是正常的，不是内网，我是电信宽带，服务器在美国。

iptables -L -n

```
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP all -- 182.254.74.167 0.0.0.0/0
f2b-nginxno404 tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
DROP all -- 182.254.74.167 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
INPUT_direct all -- 0.0.0.0/0 0.0.0.0/0
INPUT_ZONES_SOURCE all -- 0.0.0.0/0 0.0.0.0/0
INPUT_ZONES all -- 0.0.0.0/0 0.0.0.0/0
DROP all -- 0.0.0.0/0 0.0.0.0/0 ctstate INVALID
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited

Chain FORWARD (policy DROP)
target prot opt source destination
DOCKER-USER all -- 0.0.0.0/0 0.0.0.0/0
DOCKER-ISOLATION-STAGE-1 all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
DOCKER all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
DOCKER all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
FORWARD_direct all -- 0.0.0.0/0 0.0.0.0/0
FORWARD_IN_ZONES_SOURCE all -- 0.0.0.0/0 0.0.0.0/0
FORWARD_IN_ZONES all -- 0.0.0.0/0 0.0.0.0/0
FORWARD_OUT_ZONES_SOURCE all -- 0.0.0.0/0 0.0.0.0/0
FORWARD_OUT_ZONES all -- 0.0.0.0/0 0.0.0.0/0
DROP all -- 0.0.0.0/0 0.0.0.0/0 ctstate INVALID
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
OUTPUT_direct all -- 0.0.0.0/0 0.0.0.0/0

Chain DOCKER (2 references)
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 172.19.0.2 tcp dpt:8080
ACCEPT tcp -- 0.0.0.0/0 172.19.0.2 tcp dpt:8000
ACCEPT tcp -- 0.0.0.0/0 172.19.0.3 tcp dpt:80
ACCEPT tcp -- 0.0.0.0/0 172.19.0.4 tcp dpt:5432

Chain DOCKER-ISOLATION-STAGE-1 (1 references)
target prot opt source destination
DOCKER-ISOLATION-STAGE-2 all -- 0.0.0.0/0 0.0.0.0/0
DOCKER-ISOLATION-STAGE-2 all -- 0.0.0.0/0 0.0.0.0/0
RETURN all -- 0.0.0.0/0 0.0.0.0/0

Chain DOCKER-ISOLATION-STAGE-2 (2 references)
target prot opt source destination
DROP all -- 0.0.0.0/0 0.0.0.0/0
DROP all -- 0.0.0.0/0 0.0.0.0/0
RETURN all -- 0.0.0.0/0 0.0.0.0/0

Chain DOCKER-USER (1 references)
target prot opt source destination
RETURN all -- 0.0.0.0/0 0.0.0.0/0

Chain FORWARD_IN_ZONES (1 references)
target prot opt source destination
FWDI_public all -- 0.0.0.0/0 0.0.0.0/0 [goto]
FWDI_public all -- 0.0.0.0/0 0.0.0.0/0 [goto]

Chain FORWARD_IN_ZONES_SOURCE (1 references)
target prot opt source destination

Chain FORWARD_OUT_ZONES (1 references)
target prot opt source destination
FWDO_public all -- 0.0.0.0/0 0.0.0.0/0 [goto]
FWDO_public all -- 0.0.0.0/0 0.0.0.0/0 [goto]

Chain FORWARD_OUT_ZONES_SOURCE (1 references)
target prot opt source destination

Chain FORWARD_direct (1 references)
target prot opt source destination

Chain FWDI_public (2 references)
target prot opt source destination
FWDI_public_log all -- 0.0.0.0/0 0.0.0.0/0
FWDI_public_deny all -- 0.0.0.0/0 0.0.0.0/0
FWDI_public_allow all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0

Chain FWDI_public_allow (1 references)
target prot opt source destination

Chain FWDI_public_deny (1 references)
target prot opt source destination

Chain FWDI_public_log (1 references)
target prot opt source destination

Chain FWDO_public (2 references)
target prot opt source destination
FWDO_public_log all -- 0.0.0.0/0 0.0.0.0/0
FWDO_public_deny all -- 0.0.0.0/0 0.0.0.0/0
FWDO_public_allow all -- 0.0.0.0/0 0.0.0.0/0

Chain FWDO_public_allow (1 references)
target prot opt source destination

Chain FWDO_public_deny (1 references)
target prot opt source destination

Chain FWDO_public_log (1 references)
target prot opt source destination

Chain INPUT_ZONES (1 references)
target prot opt source destination
IN_public all -- 0.0.0.0/0 0.0.0.0/0 [goto]
IN_public all -- 0.0.0.0/0 0.0.0.0/0 [goto]

Chain INPUT_ZONES_SOURCE (1 references)
target prot opt source destination

Chain INPUT_direct (1 references)
target prot opt source destination

Chain IN_public (2 references)
target prot opt source destination
IN_public_log all -- 0.0.0.0/0 0.0.0.0/0
IN_public_deny all -- 0.0.0.0/0 0.0.0.0/0
IN_public_allow all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0

Chain IN_public_allow (1 references)
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 ctstate NEW

Chain IN_public_deny (1 references)
target prot opt source destination

Chain IN_public_log (1 references)
target prot opt source destination

Chain OUTPUT_direct (1 references)
target prot opt source destination

Chain f2b-nginxno404 (1 references)
target prot opt source destination
REJECT all -- 182.254.74.167 0.0.0.0/0 reject-with icmp-port-unreachable
RETURN all -- 0.0.0.0/0 0.0.0.0/0
```

2019-08-02 12:55:31 +08:00

回复了 Phishion 创建的主题 › 程序员 › 请问 Linux 防火墙屏蔽 IP 为什么无效？

@znood 我开没启用 https，目前访问都是 80 的

2019-08-02 12:50:32 +08:00

回复了 Phishion 创建的主题 › 程序员 › 请问 Linux 防火墙屏蔽 IP 为什么无效？

@ik @omph @lpvekk @xduanx @Bardon @ladypxy

报告各位大佬：
输入 iptables -I INPUT -s 182.254.74.167 -j DROP 之后，SSH 会被立即断开，但是 web 依然可以正常访问，应该不是 iptable 没有启动，肯定不是缓存的问题，也没有 CDN，我推测会不会是 fail2ban 里面规则的顺序问题。

2019-07-01 13:37:43 +08:00

回复了 cosven 创建的主题 › Python › 用 Python 3 + PyQt5 撸了一个可以播放“任意”音乐的播放器

这个我觉得自己玩玩还可以，做大了必然被告，厂商甘心买版权为其他人做嫁衣么？

2019-06-28 13:27:25 +08:00

回复了 ChristopherWu 创建的主题 › 程序员 › 迫于女票基础太差，起草计算机提纲给她特训讲课

好了，知道你有女朋友了，下一个

2019-06-14 21:47:47 +08:00

回复了 coreos 创建的主题 › 全球工单系统 › 酷安，你家有 APP 涉黄严重，举报渠道在哪？

APP 地址发出来啊，大家一起举报才有效果

2019-05-24 10:19:39 +08:00

回复了 imherer 创建的主题 › 全球工单系统 › QQ 的克隆功能能不能关掉？

有选项防止被克隆的，你找找

2019-03-27 14:24:17 +08:00

回复了 TomVista 创建的主题 › 全球工单系统 › 哈罗单车接招

不开通免密支付的必要性就在这里

1 ... 22 23 24 25 26 27 28 29 30 31 ... 36

❮

❯