Manchmal wundere ich mich doch sehr über #Traefik
Es gibt eine "IPWhiteList" aber dann keine "IPBlacklistList".
Warum darf ich IPs erlauben, aber keine sperren?!
@schenklklopfer Weil Allow-Lists generell besser sind als Deny-Lists. Es ist aus security-Sicht gscheiter alles zu verbieten und dann nur bestimmte Zugriffe erlauben, als "alles bis auf ein paar ausnahmen" erlauben, weil diese Ausnahmen leicht umgangen werden können.
@schenklklopfer wie wäre es mit einer ACL auf dem Host? Block doch einfach die IP bevor sie Traefik erreicht.
@schenklklopfer das ist ein Argument. Allerdings wäre ich bei einer Attacke doch durchaus restriktiver.
@Sven Es muss ja nicht unbedingt eine sein...
Okay, mal davon abgesehen, wie würde man das im Docker Umfeld umsetzen?
Auf dem Host kann/will man ja eher keine Änderungen machen. Also vor den Traefik nochmal einen reverseproxy stellen, oder wie?
@schenklklopfer du wirst ja irgendwo eine Firewall implementiert. Dort trägst du entsprechend eine Regel ein die alles von IP XY/Z dropt.
Schon ist ruhe :)
@Sven Klar gibt's eine Firewall, aber dort etwas zu blocken bedeutet ein Ticket am ServiceDesk zu machen, das dann irgendwann die nächsten Tage bearbeitet wird...
Also ist man solange halt down...
Da will ich selber vielleicht auch ein Wörtchen mitreden^^
@schenklklopfer OK. In den Fall habe ich nichts gesagt :)
@Sven Naja wenn der Traefik in einem Docker Swarm oder K8s läuft, will ich die IP vielleicht nicht global blockieren, sondern nur für einen einzelnen Service, der damit ausgeliefert wird.
Ich will das schon ein bisschen granularer einstellen können.