HZ 的禁止访问私有IP真是傻逼

tomcb · 发表于 2023-6-30 08:38:28

aru 发表于 2023-6-30 07:01
不会有警告
比如说docker的内部网络是172.17.0.0/16
你在机器内部访问其中一个容器IP是 172.17.0.2

你自己已经解答了你的问题了，你如果正常使用人家又不管你，容器关了你还对着一个空的IP发数据包，人家才怀疑你。

aru · 发表于 2023-6-30 08:58:01

tomcb 发表于 2023-6-30 08:38
你自己已经解答了你的问题了，你如果正常使用人家又不管你，容器关了你还对着一个空的IP发数据包，人家才 ...

???
这不是很正常的行为么？

jqbaobao · 发表于 2023-6-30 09:26:37

"正常"

heibaihuali · 发表于 2023-6-30 09:33:01

其实讲道理是不正常的，docker确实会有这个问题，因为内网的包怎么会发到公网上去了，目标地址是内网的话应该只在本地
hz确实傻逼，我以前也经常这样，建议你更改docker的网段，不是说不能访问内网嘛，那就随便拿一个公网ip段来作为内网呗，即使因为某些bug发出去了又不是内网，他能咋地

而且不要和hz的滥用杠，那些人纯sb

aru · 发表于 2023-6-30 09:55:55

本帖最后由 aru 于 2023-6-30 09:57 编辑

heibaihuali 发表于 2023-6-30 09:33
其实讲道理是不正常的，docker确实会有这个问题，因为内网的包怎么会发到公网上去了，目标地址是内网的话应 ...

会走一下默认路由，这个是完全没法避免的，实际上这个请求在它的网关就被丢弃了
操作系统的行为，唯一能做的就是主动用防火墙屏蔽掉
但是屏蔽也不好搞，检测程序是在主机上跑的呀，屏蔽了就没法真正访问容器了
唯一的办法就是检测程序也在容器内跑，主机上屏蔽对私网IP的访问

至于用公网IP就不可取，他会报另外一个滥用问题，说你IP欺骗

txjcv · 发表于 2023-6-30 09:57:42

WZ-Software 发表于 2023-6-29 21:05
似乎是HZ原来有过大规模内网DDoS攻击，并且内网打可以随意修改包大小，导致HZ痛不欲生，干脆砍了 ...

原来如此

FreeDog · 发表于 2023-6-30 10:01:56

强制写几条静态路由应该可以吧？

ljm625 · 发表于 2023-6-30 10:04:48

你在iptables里把dest私网走公网的网卡 drop了不就行了？
你docker私网又不是那个接口

aru · 发表于 2023-6-30 10:05:48

FreeDog 发表于 2023-6-30 10:01
强制写几条静态路由应该可以吧？

卧槽，我知道原因了
我将docker 服务停了，所以这个子网消失了
然后流量就会跑到公网网卡

heibaihuali · 发表于 2023-6-30 11:45:08

aru 发表于 2023-6-30 09:55
会走一下默认路由，这个是完全没法避免的，实际上这个请求在它的网关就被丢弃了
操作系统的行为，唯一能 ...

好像是这么回事，会报ip欺骗，我记得以前是解决了这个问题的
后面好像是通过docker 的host网络模式解决，然后还要屏蔽内网ip，iptables 要加进docker那个链才行

		自动登录	找回密码
密码			注册

HZ 的禁止访问私有IP真是傻逼

点评