› NGINX
› NGINX Trac
› 3rd Party Modules
› Security Advisories
› CHANGES
› OpenResty
› ngx_lua
› Tengine
在线学习资源
› NGINX 开发从入门到精通
NGINX Modules
› ngx_echo
Docker Nginx (Host Mode) + Fail2Ban 完整指南
本教程适用于使用 --network host 模式运行 Nginx 容器的场景。在此模式下,Fail2Ban 配置比 Bridge 模式更简单,因为不需要处理 Docker 的 NAT 转发链。
📌 环境信息
- 运行模式:Docker (Host Network)
- 日志路径:
/root/nginx/log/access.log - 监听端口:宿主机直接监听 80/443
第一步:确认容器运行状态
请确保您已使用 Host 模式启动容器:
# 停止并删除旧容器
docker rm -f nginx01
# 启动新容器( Host 模式)
docker run -d \
--name nginx01 \
--restart always \
--network host \
-v "/root/nginx/conf/nginx.conf:/etc/nginx/nginx.conf" \
-v "/root/nginx/html:/usr/share/nginx/html" \
-v "/root/nginx/cert:/etc/nginx/cert" \
-v "/root/nginx/log:/var/log/nginx" \
--add-host=host.docker.internal:host-gateway \
nginx
第二步:配置 Fail2Ban 过滤器
我们需要创建规则来告诉 Fail2Ban 什么是恶意行为。
1. 防恶意扫描( Bad Request )
拦截扫描敏感文件(如 .env, wp-login.php)的攻击者。
sudo nano /etc/fail2ban/filter.d/nginx-bad-request.conf
[Definition]
failregex = ^<HOST> - - .* "(GET|POST|HEAD) .*\.(php|asp|aspx|jsp|cgi|env|git|yml|sql|bak|tar|gz|zip|rar|sh) HTTP.*" (400|401|403|404) .*$
^<HOST> - - .* "(GET|POST|HEAD) .*/(phpmyadmin|admin|setup|manager|dashboard|wp-login|xmlrpc).* HTTP.*" (400|401|403|404) .*$
ignoregex =
2. 防高频 CC 攻击( Anti-Flood )
拦截请求频率过高的 IP ,但排除静态资源(图片、CSS 等)以免误封。
sudo nano /etc/fail2ban/filter.d/nginx-cc.conf
[Definition]
failregex = ^<HOST> - - .* "(GET|POST|HEAD).*HTTP.*" .*$
# 忽略图片、CSS 、JS 等静态资源
ignoregex = \.(jpg|jpeg|png|gif|ico|css|js|woff|woff2|ttf|svg|mp4|webm) HTTP
第三步:配置监狱(jail.local)
这是 Host 模式与 Bridge 模式最大的区别点。**Host 模式下,我们不需要指定 chain = DOCKER-USER**。
sudo nano /etc/fail2ban/jail.local
[DEFAULT]
# 白名单 IP:即使这些 IP 触发规则也不会被封
# 建议加上 localhost
ignoreip = 127.0.0.1/8 192.168.0.0/16 10.0.0.0/8
# 默认封禁时间:1 小时
bantime = 1h
# 查找时间窗口:10 分钟
findtime = 10m
# 最大尝试次数:5 次
maxretry = 5
# --- Host 模式动作配置 ---
# 直接使用标准 iptables-multiport 即可,无需指定 chain
banaction = iptables-multiport
# ==========================================
# 规则 1:防止恶意扫描
# ==========================================
[nginx-bad-request]
enabled = true
logpath = /root/nginx/log/access.log
filter = nginx-bad-request
port = 80,443
maxretry = 3
bantime = 24h
# ==========================================
# 规则 2:防止 CC 攻击
# ==========================================
[nginx-cc]
enabled = true
logpath = /root/nginx/log/access.log
filter = nginx-cc
port = 80,443
findtime = 60
# 允许每分钟 120 次非静态资源请求
maxretry = 120
bantime = 2h
第四步:重启与验证
1. 重启 Fail2Ban
sudo systemctl restart fail2ban
2. 验证状态
sudo fail2ban-client status
应看到以下两个监狱处于活动状态:
nginx-bad-requestnginx-cc
3. 验证防火墙规则
检查 INPUT 链( Host 模式走这里):
sudo iptables -L INPUT -n
确认规则中出现针对目标 IP 的 DROP 或 REJECT 记录,表示封禁生效。
✅ 完成!
您的 Nginx 容器已在 Host 模式下成功集成 Fail2Ban ,具备抵御恶意扫描与 CC 攻击的能力。
 |
1
ethusdt 13 小时 1 分钟前
虽然像 AI 写的,不过还算完整,刚好今天我也发了相关的帖子。
另外还要在 nginx 上配置下 `set_real_ip_from` 哦,否则恶意流量添加 X-Forwarded-For: 8.8.8.8 这种 header ,你的 nginx 日志会记录成 8.8.8.8 而忽略了源请求地址。 |
 |
2
cowiejulewbfwo OP @ethusdt 感谢补充。
现在其实都是 ai 写的,只要内容详实没问题就好。就怕用 ai 制造垃圾信息这就很恶心了。 |
Select Language