wikinotes

Outils pour utilisateurs

Outils du site

Piste :
software:applications:fail2ban:configuration_dokuwiki

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
software:applications:fail2ban:configuration_dokuwiki [2023/04/27 10:25] yoannsoftware:applications:fail2ban:configuration_dokuwiki [2023/04/27 13:57] (Version actuelle) yoann
Ligne 44: Ligne 44:
 ==== Le bannissement ne fonctionne pas avec Docker ==== ==== Le bannissement ne fonctionne pas avec Docker ====
  
-Lorsque l’application Dokuwiki fonctionne dans un conteneur Docker, le bannissement ne fonctionne pas. Malgré l'ajout de l'IP, le service reste accessible.+Lorsque l’application Dokuwiki s'exécute depuis un conteneur Docker, l'action de bannissement par défaut ne fonctionne pas. fail2ban-client indique bien que l'IP est bannieles règles de filtrages sont mises à jour mais les modifications ont lieu sur la chaîne iptable **INPUT** ce qui est parfaitement adapté dans le cas d'un fonctionnement classique.
  
 +L'application reste accessible car dans le cas de Docker le trafic à destination des conteneurs transite et est filtré par la chaîne **FORWARD**. Il faut donc modifier la configuration et créer une action agissant sur la chaîne FORWARD.
 +
 +  * Le fichier ''/etc/fail2ban/jail.d/dokuwiki.local'' utilise l'action ''iptables-multiport'';
 +  * En analysant le fichier ''/etc/fail2ban/action.d/iptables-multiport.conf'' on identifie la variable **%%<chain>%%** définie dans le ''/etc/fail2ban/action.d/iptables-common.conf''
 +
 +
 +Pour que les modifications apportées localement ne soient pas écrasées lors d'une mise à jour du paquet et pour qu'elles s'appliquent en dernier, on crée une copie du fichier que l'on modifie:
 +
 +<code bash>
 +cd /etc/fail2ban/action.d/
 +cp iptables-multiport.conf iptables-docker-multiport.local
 +</code>
 +
 +Dans ce fichier on redéfinit la variable **%%<chain>%%**
 +
 +<code bash>
 +# Redémarer le daemon
 +systemclt restart fail2ban.service
 +
 +# Vérifier l'existance de la chaine f2b-dokuwiki
 +iptables -t filter -S f2b-dokuwiki
 +
 +# La chaine f2b-dokuwiki doit se trouver en début de la chaine FORWARD
 +iptables -t filter -S FORWARD | head -n 5
 +-P FORWARD DROP
 +-A FORWARD -p tcp -m multiport --dports 80,443 -j f2b-dokuwiki
 +-A FORWARD -j DOCKER-ISOLATION-STAGE-1
 +-A FORWARD -j DOCKER-USER
 +-A FORWARD -o br-5d3619a40a01 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
 +</code>
 +
 +
 +Autoriser à nouveau le client:
 +<code bash>
 +fail2ban-client set dokuwiki unbanip 92.88.170.111
 +</code>
  
 ===== Références ===== ===== Références =====
software/applications/fail2ban/configuration_dokuwiki.1682591132.txt.gz · Dernière modification : 2023/04/27 10:25 de yoann

Outils de la page

Sauf mention contraire, le contenu de ce wiki est placé sous les termes de la licence suivante : GNU Free Documentation License 1.3
GNU Free Documentation License 1.3 Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki