Manchmal wundere ich mich doch sehr über #Traefik

Es gibt eine "IPWhiteList" aber dann keine "IPBlacklistList".

Warum darf ich IPs erlauben, aber keine sperren?!

@schenklklopfer Weil Allow-Lists generell besser sind als Deny-Lists. Es ist aus security-Sicht gscheiter alles zu verbieten und dann nur bestimmte Zugriffe erlauben, als "alles bis auf ein paar ausnahmen" erlauben, weil diese Ausnahmen leicht umgangen werden können.

@BafDyce Und wie ist dann das konkrete Vorgehen, wenn ich Angreifer X mit IP Y sperren will?

Ich kann doch nicht dann alle Netze dieser Welt bis auf das eine kleine Subnetz des Angreifers in die AllowList schreiben, oder?

@schenklklopfer wie wäre es mit einer ACL auf dem Host? Block doch einfach die IP bevor sie Traefik erreicht.

@Sven Naja wenn der Traefik in einem Docker Swarm oder K8s läuft, will ich die IP vielleicht nicht global blockieren, sondern nur für einen einzelnen Service, der damit ausgeliefert wird.

Ich will das schon ein bisschen granularer einstellen können.

Follow

@schenklklopfer das ist ein Argument. Allerdings wäre ich bei einer Attacke doch durchaus restriktiver.

@Sven Es muss ja nicht unbedingt eine sein...

Okay, mal davon abgesehen, wie würde man das im Docker Umfeld umsetzen?

Auf dem Host kann/will man ja eher keine Änderungen machen. Also vor den Traefik nochmal einen reverseproxy stellen, oder wie?

@schenklklopfer du wirst ja irgendwo eine Firewall implementiert. Dort trägst du entsprechend eine Regel ein die alles von IP XY/Z dropt.

Schon ist ruhe :)

@Sven Klar gibt's eine Firewall, aber dort etwas zu blocken bedeutet ein Ticket am ServiceDesk zu machen, das dann irgendwann die nächsten Tage bearbeitet wird...

Also ist man solange halt down...

Da will ich selber vielleicht auch ein Wörtchen mitreden^^

Sign in to participate in the conversation
Mastodon

The social network of the future: No ads, no corporate surveillance, ethical design, and decentralization! Own your data with Mastodon!