fail2ban ban 了 IP，还是能访问是为什么？ - V2EX

首页注册登录

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

Distributions

› Ubuntu

› Fedora

› CentOS

中文资源站

› 网易开源镜像站

我用 docker 运行了 vaultwarden：

services:
vaultwarden:
image: vaultwarden/server:latest
container_name: vaultwarden
restart: always
ports:
- "127.0.0.1:8001:80"
volumes:
- ./:/data/
- /etc/localtime:/etc/localtime:ro
environment:
- LOG_FILE=/data/log/vaultwarden.log

然后用 Nginx 的反向代理 bitwarden.XXX.com 可以访问，套了 cloudflare CDN 。
配置 fail2ban 之后，测试了故意输入错误密码后，能 ban 到 IP：

Status for the jail: vaultwarden
|- Filter
| |- Currently failed: 1
| |- Total failed: 5
| `- File list: /home/Wi-Fi/Bitwarden/log/vaultwarden.log
`- Actions
|- Currently banned: 1
|- Total banned: 1
`- Banned IP list: 158.101.132.372

但是依然能访问，这是为什么？

打赏作者

20 50 100 200 500 1000

11 条回复 • 2025-09-14 09:47:09 +08:00

1

billlee

2 天前

因为 fail2ban 默认调用的是系统防火墙，系统防火墙看到的 IP 都是 Cloudflare 服务器的 IP.

2

Nt6Z1g

1 天前

fail2ban 可以用 cloudflare 的模块调用 API 封 IP

3

ruanimal

1 天前

套了 cloudflare ，ip 就会一直变吧，你 ban 的是 cloudflare 的 ip ，ban 了个寂寞

4

KousukeSakurako

1 天前 via iPhone

试试自定义一下 ban action ，让它能把规则插到 DOCKER-USER 里

5

xyfan

1 天前

你都说了套 CDN ，ban 来 ban 去，ban 的是衣服不是人

6

julyclyde

1 天前

你这个 docker 是做了 NAT 吧
fail2ban 是在 INPUT 封的吧，你这个 NAT 是不经过 INPUT 的吧？

7

yokisama

1 天前

不如在 cloudflare 的 WAF 直接屏蔽它的 ip
让 AI 写个脚本，读取 bw 的日志，加入到黑名单就好了
你只 ban 回源 ip 没用

8

bingfengfeifei

19 小时 58 分钟前

如果功能没问题的话，可能是当前的会话没断，阻断的仅仅是新建连接，当前的连接不会断。
我没用过这个不太清楚是不是这个原因，只是之前遇到过类似的问题，是这种原因导致。

9

laminux29

13 小时 44 分钟前

这是 Docker 的安去漏洞，知道这个事情的人很少：

https://www.v2ex.com/t/1147750

10

datocp

9 小时 31 分钟前 via Android

当年测试防火墙似乎是默认
iptables -P INPUT ACCEPT

11

lifansama

7 小时 26 分钟前 via Android

你的 banaction 是使用的哪一种？换成 iptables-allports 试试？

关于 · 帮助文档 · 自助推广系统 · 博客 · API · FAQ · 实用小工具 · 2720 人在线 最高记录 6679 ·

Select Language

创意工作者们的社区

World is powered by solitude

VERSION: 3.9.8.5 · 24ms · UTC 09:13 · PVG 17:13 · LAX 02:13 · JFK 05:13
Developed with CodeLauncher
♥ Do have faith in what you're doing.