最近在给建站机加防护,用了mjj推荐的https://github.com/chaifeng/ufw-docker?tab=readme-ov-file#太长不想读 来解决docker会绕过ufw的问题。
但是部署好以后发现很多地方加载变得非常卡,有时候还会超时加载失败,尤其是图床里面的高清图这种文件。
AI排查了一天分析了几个问题(MTU,ICMP这些),挨个测了也没解决,关掉ufw清空规则以后瞬间就不卡了。
有无大佬遇到过类似问题,求解决方案
或者有无更好的针对docker的ufw方案
补充:目前所有服务基本都在docker里运行,用nginx反代到各个容器(探针主控,博客这些)
顺便一提,要折腾这个千万注意用测试环境,ufw-docker会往iptables里面写一些规则,在关闭ufw以后如果不清理掉的话会导致docker全部断联,本身有写其他规则的话就会变得非常折磨
@SC6 #31
这个是我之前发的 或许能帮到你
https://www.nodeseek.com/post-402175-1
直接用iptables更好吧
就是从ufw迁移的时候麻烦点
但是可以借助ai
我尝试过
一大堆链太复杂了
web服务器也用docker方案
之间通讯都走内网,反代docker
没用过,不过按经验,很可能是从docker访问不到外网,要等反向解析失败超时,所以很慢。
docker映射本地地址。
宿主机安装nginx。反代docker
-p 127.0.0.1:80:80
-p [::1]:8080:8080 \
@Donald2018 #1
折腾iptables感觉太折磨了,尤其是小鸡多了以后,想找个简单好管理的办法
@coldsword #2
我目前就是这样,ufw只留了80和443,然后用nginx反代到各个web服务的docker,但是只要开了ufw就会出现主楼的问题,各种图片加载都很卡甚至失败。测试了容器内部通信都没问题,也不知道问题出在哪儿
@陌生人 #3
在容器里面测过,访问外网没问题,基本上加载也没什么大问题,就是有些资源偶尔会卡会超时
@Akasoenter #4
这样是不是每个docker都要重新部署一遍,然后新装的也要额外单独设置一下?
一开始考虑过这个方案,后来发现太折磨了想找个省事儿的
前几天折腾的时候正好遇到,我用的是caddy反代内网地址
:80 {
root * /usr/share/caddy
file_server
}
https://反代域名 {
tls 邮箱@gmail.com
reverse_proxy /* 127.0.0.1:port {
header_up Host {http.reverse_proxy.upstream.hostport}
header_down Access-Control-Allow-Headers *
header_down Access-Control-Allow-Origin *
}
@shimaomaoya #9
没用过caddy一直用的nginx,如果换上caddy的话会有这种卡顿的问题吗