[Docker] [alle OS] Het grote Docker ervaringen en tips topic

Airw0lf schreef op maandag 20 oktober 2025 @ 21:54:
Wat bedoel je precies met "meerdere netwerken aan containers hangen"?

Airw0lf schreef op dinsdag 21 oktober 2025 @ 08:22:
@alex3305 en @RobertMe - ja - die Docker overlay netwerken... ik vermoede al dat het die kant op zou gaan...

RobertMe schreef op dinsdag 21 oktober 2025 @ 09:05:
[...]

Ik gebruik helemaal geen overlay netwerk

Airw0lf schreef op dinsdag 21 oktober 2025 @ 09:10:
[...]


Klopt - jij lost alles op met IPv6 - komt op hetzelfde neer...

[ Voor 17% gewijzigd door RobertMe op 21-10-2025 09:20 ]

alex3305 schreef op dinsdag 21 oktober 2025 @ 12:43:
@RobertMe Jouw IPv6 aanpak klinkt enorm interessant. Doe jij de IPv6 configuratie in Compose? En dan met SLAAC?

Een tijdje terug heb ik wel getest om mijn complete Docker omgeving naar IPv6 om te zetten aangezien ik van KPN een /48 krijg, maar ik had niet per se het gevoel grip te hebben over de situatie.

alex3305 schreef op dinsdag 21 oktober 2025 @ 12:33:
[...]

Daar ben ik het dus compleet mee oneens. Het is een keuze om de IPAM-config op te zetten en zelf in te regelen. Ik laat dat gewoon aan de daemon zelf over en dat gaat vooralsnog prima.

[...]

Alhoewel ik zeker weet dat je het goed bedoelt, zie ik dat echt compleet anders. Overlay netwerken is misschien nog een brug te ver voor @StarWing, maar ik zou sterk adviseren om in ieder geval te starten met een ipvlan netwerk. Host netwerk is in 99% van de gevallen onnodig. Daarnaast kom je enorm vlug in de problemen met poorttoewijzingen. En het is enorm onveilig, omdat je de controle over poort mappings compleet uit handen geeft.

[ Voor 5% gewijzigd door Airw0lf op 21-10-2025 14:27 ]

Airw0lf schreef op dinsdag 21 oktober 2025 @ 14:22:
Hoe werkt het dan met meerdere containers verdeeld over meerdere hosts? Waarbij alle containers bij elkaar in hetzelfde subnet moeten komen?

Bij IP-VLAN heb je meerdere IP's op een MAC-adres zitten - dat kan ARP-alarmen triggeren van firewalls.
Hoe ga je daar dan mee om?

Mijn aanpak is alles met host network. En dan de firewall van de LXC-host gebruiken om alleen die poorten open te zetten die nodig zijn. Zit er een overlap in de TCP-poorten van twee containers, dan kijk ik of er via een env-var een aanpassing mogelijk is. Is die er niet, dan start ik een nieuwe LXC-host, voeg daar de nieuwe container toe met zijn firewall rules.

Wat is hier niet veilig aan? En wat heeft hier een IP-VLAN nog voor meerwaarde?

alex3305 schreef op dinsdag 21 oktober 2025 @ 15:23:
[...]

Dat regelt het overlay netwerk vanuit Docker Swarm.

[...]

[...]

Ja, maar dit is geen Docker (LXD) hè. Dit is LXC.

Jij hebt het eerder over beheerbaarheid en beheersbaarheid, maar ik vind dit dus enorm veel aan de beheerbaarheid toevoegen. Immers heb je nu twee containerlagen boven op elkaar, die allebei (waarschijnlijk) nét anders werken. Ik kan verder geen uitspraken doen over de veiligheid van een dergelijke setup. Of meerwaarde van ipvlan, want die is er in jouw geval denk ik niet.

Echter vind ik Docker hosts met daarop Docker containers - of podman met containers - een stuk eenvoudiger dan verschillende LXC containers die ik dan nog met een (eventuele) firewall aan elkaar moet knopen.

Maar uiteindelijk zet ik nagenoeg nooit meer poorten open en ontsluit ik alles via een reverse proxy. Dan hoef ik niet aan te klooien met env-vars of firewalls. Ik hoef alleen maar een paar labels toe te voegen om een dienst werkend en bereikbaar te krijgen.

[ Voor 6% gewijzigd door Airw0lf op 21-10-2025 15:57 ]

1

sudo docker network create -d ipvlan  --subnet=10.0.2.0/24 --gateway=10.0.2.254 -o parent=ens192 br_iot

1
2
3
4
5
6

sudo docker network ls
NETWORK ID     NAME      DRIVER    SCOPE
2ec0e2e687b7   br_iot    ipvlan    local
92770f7dfb59   bridge    bridge    local
80dd6a4467e3   host      host      local
684e8f327ad4   none      null      local

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34

sudo docker network inspect br_iot
[
    {
        "Name": "br_iot",
        "Id": "2ec0e2e687b750e2a8a5531e1ab53d5566d50528e04cc322a2060b7c93bbdeba",
        "Created": "2025-10-21T15:53:04.352792291Z",
        "Scope": "local",
        "Driver": "ipvlan",
        "EnableIPv4": true,
        "EnableIPv6": false,
        "IPAM": {
            "Driver": "default",
            "Options": {},
            "Config": [
                {
                    "Subnet": "10.0.2.0/24",
                    "Gateway": "10.0.2.254"
                }
            ]
        },
        "Internal": false,
        "Attachable": false,
        "Ingress": false,
        "ConfigFrom": {
            "Network": ""
        },
        "ConfigOnly": false,
        "Containers": {},
        "Options": {
            "parent": "ens192"
        },
        "Labels": {}
    }
]

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25

test@test:/docker/portainer$ ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host noprefixroute
       valid_lft forever preferred_lft forever
2: ens160: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
    link/ether 00:0c:29:0f:ff:c4 brd ff:ff:ff:ff:ff:ff
    altname enp3s0
    inet 192.168.10.150/24 brd 192.168.10.255 scope global ens160
       valid_lft forever preferred_lft forever
    inet6 fe80::20c:29ff:fe0f:ffc4/64 scope link
       valid_lft forever preferred_lft forever
3: ens192: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
    link/ether 00:0c:29:0f:ff:ce brd ff:ff:ff:ff:ff:ff
    altname enp11s0
    inet 10.0.2.95/24 brd 10.0.2.255 scope global ens192
       valid_lft forever preferred_lft forever
    inet6 fe80::20c:29ff:fe0f:ffce/64 scope link
       valid_lft forever preferred_lft forever
4: docker0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue state DOWN group default
    link/ether 06:4e:8c:77:13:8c brd ff:ff:ff:ff:ff:ff
    inet 172.17.0.1/16 brd 172.17.255.255 scope global docker0
       valid_lft forever preferred_lft forever

1
2
3

ping 10.0.2.95
Pinging 10.0.2.95 with 32 bytes of data:
Reply from 10.0.2.95: bytes=32 time<1ms TTL=64

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20

services:
  portainer:
    image: portainer/portainer-ce:latest
    container_name: portainer
    restart: unless-stopped
    environment:
      TZ: 'Europe/Brussels'
    volumes:
      - /etc/localtime:/etc/localtime:ro
      - /var/run/docker.sock:/var/run/docker.sock:ro
      - /docker/portainer/data:/data
    ports:
      - '9000:9000'
    networks:
      - br0_IOT

networks:
  br0_IOT:
    external: true
    name: br_iot

1
2
3
4
5
6
7

    networks:
       br0_IOT:
         ipv4_address: 10.0.2.100
networks:
  br0_IOT:
    name: br_iot
    external: true

[ Voor 6% gewijzigd door StarWing op 21-10-2025 19:29 ]

alex3305 schreef op dinsdag 21 oktober 2025 @ 19:59:
Het is voor mij niet helemaal duidelijk wat je hiermee bedoelt. Welke containers op welke machine zijn vanuit welke bron bereikbaar? En wat zou je dan willen afschermen?

StarWing schreef op woensdag 22 oktober 2025 @ 04:42:
[...]

Wel, als ik op mijn werkende docker host, welke een ip heeft van 192.168.10.155, een additionele netwerkkaart toevoeg via esxi, met ip 10.0.2.155, dan zijn alle dockers die ik heb, op beide ip's bereikbaar. Da's nu niet de bedoeling van een scheiding iot <> lan .

Maar dit kan ik waarschijnlijk correct oplossen door in de docker compose een ip te specifieren.

StarWing schreef op woensdag 22 oktober 2025 @ 04:42:
[...]

Maar dit kan ik waarschijnlijk correct oplossen door in de docker compose een ip te specifieren.

1
2
3

ports:
      - "ipv4adres:9000:9000"
      - "[ipv6adres]:9000:9000"

StarWing schreef op woensdag 22 oktober 2025 @ 04:42:
Wel, als ik op mijn werkende docker host, welke een ip heeft van 192.168.10.155, een additionele netwerkkaart toevoeg via esxi, met ip 10.0.2.155, dan zijn alle dockerscontainers die ik heb, op beide ip's bereikbaar.

Da's nu niet de bedoeling van een scheiding iot <> lan .

ed1703 schreef op woensdag 22 oktober 2025 @ 08:48:
[...]

Zelf prefereer ik reverseproxy met caddy, npm of traefik. Die proxycontainer prop je samen met de container die je wilt gebruiken in een eigen netwerk en die benader je op naam. Het maakt namelijk geen drol uit welk ipadres dat ding dan heeft. Dat zoekt de proxy met docker wel voor je uit.
Hangt er verder wel een beetje vanaf wat je gaat doen welke proxy software je perse nodig hebt.

• Ik heb een "extern" netwerk met een vast IPv4 en IPv6 adres. De enige die in dat netwerk hangt is mijn proxy. Die is als enige bereikbaar over poort 80/443, ook extern. De rest van mijn docker netwerk is dus gewoon IPv4, maar dus via de proxy wel bereikbaar over IPv6
• Dan heb ik een "proxy" netwerk waarin alle containers hangen, inclusief de proxy, die met de proxy moeten praten
• En verder per set van applicaties die bij elkaar horen, of met elkaar moeten praten een eigen overlay netwerk. Apps praten dan via de service naam of alias.

• Traefik kan dan wel verkeer routeren naar de verschillende containers doordat deze in alle overlay netwerken zit.
• Die containers kunnen enkel met Traefik en hun eigen containers praten, verder niet.

alex3305 schreef op woensdag 22 oktober 2025 @ 11:59:
Geef elke container een eigen IP. Hoe je dat doet maakt geen klap uit. Het kan vanwege mDNS handig zijn dat bijvoorbeeld Home Assistant wel aan het netwerk hangt met bijvoorbeeld een host of ipvlan netwerk.

[ Voor 15% gewijzigd door Mars Warrior op 22-10-2025 12:15 ]

Mars Warrior schreef op woensdag 22 oktober 2025 @ 12:00:
Gelukkig ben ik niet zo goed in netwerken en lost Docker eigenlijk alles op in mijn geval:

• Ik heb een "extern" netwerk met een vast IPv4 en IPv6 adres. De enige die in dat netwerk hangt is mijn proxy. Die is als enige bereikbaar over poort 80/443, ook extern. De rest van mijn docker netwerk is dus gewoon IPv4, maar dus via de proxy wel bereikbaar over IPv6
• Dan heb ik een "proxy" netwerk waarin alle containers hangen, inclusief de proxy, die met de proxy moeten praten
• En verder per set van applicaties die bij elkaar horen, of met elkaar moeten praten een eigen overlay netwerk. Apps praten dan via de service naam of alias.

Dit werkt gewoon. Behalve de proxy dus nergens port mappings of andere zaken. Om vanuit buiten bij een container te komen moet je voorbij de proxy weten te komen, oftewel je moet het domein (FQDN) weten.

In bovenstaand voorbeeld is het wel zo dat iedereen die in het "proxy" netwerk hangt elkaar ook kan bereiken. Als je dat niet wilt, dus dat een container enkel met de proxy kan praten, dan moet je dingen omkeren en moet je bijv. Traefik onderdeel maken van de overlay netwerken van de containers.

• Traefik kan dan wel verkeer routeren naar de verschillende containers doordat deze in alle overlay netwerken zit.
• Die containers kunnen enkel met Traefik en hun eigen containers praten, verder niet.

En als je Swarm gebruikt dan kun je ook "--internal" gebruiken voor je overlay netwerken. Dan heb je éénrichtingsverkeer, en kan een container gewoon niet naar buiten

Ik snap in deze het hele nut van vlans niet


[...]

Of je gebruikt een mdns-repeater container. Die hangt natuurlijk wel aan je host netwerk, en gooit al die berichtjes door naar bijv. je docker bridge of het specifieke home assistant en/of jellyfin/plex overlay netwerk.

Airw0lf schreef op woensdag 22 oktober 2025 @ 12:32:
[...]
Mja... wel bijzonder... je gebruikt de nodige overlays? Maar ziet vervolgens het nut van vlans niet? Wat denk je dat Docker gebruikt om dit allemaal te kunnen doen? Juist ja...

Airw0lf schreef op woensdag 22 oktober 2025 @ 15:21:
@Mars Warrior - ok - maar een VXLAN heeft toch altijd een L3 transport mechanisme nodig? Wat - zeker in grotere bedrijven - is ingevuld met subnetten "verpakt" in vlans (d.w.z broadcast domains)?

Hier kom je pas vanaf als alle aangesloten apparaten native VXLAN kunnen - pas dan kun je uit de voeten met één plat netwerk - theoretisch dan toch. Dit lijkt me killing voor de verdienmodellen van de grote netwerk fabrikanten zoals Cisco, HP/Juniper, etc. Maar klinkt me als muziek in de oren... zeker als de intelligentie vergelijkbaar is met die van Docker containers in een Swarm/overlay netwerk...

Unne dikke mercie voor je tijd en uitleg - ook @alex3305 - top! Ik heb een hoop bijgeleerd en ben ook tot een paar andere inzichten gekomen!

Mars Warrior schreef op woensdag 22 oktober 2025 @ 16:21:
Voor thuis is dat natuurlijk onzin: elke switch kan gewoon L3 routeren, alleen dat kost net wat meer CPU.

alex3305 schreef op woensdag 22 oktober 2025 @ 16:05:
ik zou hem adviseren om met een overlay netwerk en reverse proxy, of met een ipvlan netwerk te gaan werken.

• blacklist 0 = crowdsec
• blacklist 1 = community blocklist (15.000 adressen)
• blacklist 2 = tor exit nodes.

1
2
3
4
5
6
7
8
9
10

        chain CROWDSEC_CHAIN {
                # match-set crowdsec-blacklists-2 src  counter packets 0 bytes 0 jump CROWDSEC_LOG
                # match-set crowdsec-blacklists-1 src  counter packets 2655 bytes 158060 jump 
                # match-set crowdsec-blacklists-0 src  counter packets 1308 bytes 74858 jump 
        }
        chain CROWDSEC_CHAIN {
                # match-set crowdsec6-blacklists-2 src  counter packets 110 bytes 9913 jump CROWDSEC_LOG
                # match-set crowdsec6-blacklists-1 src  counter packets 0 bytes 0 jump CROWDSEC_LOG
                # match-set crowdsec6-blacklists-0 src  counter packets 27 bytes 2160 jump CROWDSEC_LOG
        }

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58

mode: iptables
update_frequency: 10s
log_mode: file
log_dir: /var/log/
log_level: info
log_compression: true
log_max_size: 100
log_max_backups: 3
log_max_age: 30
api_url: ${API_URL}
api_key: ${API_KEY}

## TLS Authentication
# cert_path: /etc/crowdsec/tls/cert.pem
# key_path: /etc/crowdsec/tls/key.pem
# ca_cert_path: /etc/crowdsec/tls/ca.crt
insecure_skip_verify: false
disable_ipv6: false
deny_action: DROP
#deny_log: false
deny_log: true

supported_decisions_types:
  - ban
#to change log prefix
deny_log_prefix: "crowdsec: "
#to change the blacklists name
blacklists_ipv4: crowdsec-blacklists
blacklists_ipv6: crowdsec6-blacklists
#type of ipset to use
ipset_type: nethash
#if present, insert rule in those chains
iptables_chains:
  - INPUT
#  - FORWARD
  - DOCKER-USER
iptables_add_rule_comments: true

## nftables
nftables:
  ipv4:
    enabled: false
    set-only: false
    table: crowdsec
    chain: crowdsec-chain
    priority: -10
  ipv6:
    enabled: false
    set-only: false
    table: crowdsec6
    chain: crowdsec6-chain
    priority: -10

nftables_hooks:
  - input
  - forward

# packet filter

1
2
3
4
5
6
7
8
9
10
11
12
13
14

  infra-cs-firewall-bouncer:
    image: ghcr.io/shgew/cs-firewall-bouncer-docker:latest
    container_name: infra-cs-firewall-bouncer
    network_mode: host
    cap_add:
      - NET_ADMIN
      - NET_RAW
    security_opt:
      - no-new-privileges:true
    volumes:
      - $DOCKERDIR/infra/cs-firewall-bouncer/config/crowdsec-firewall-bouncer.yaml:/config/crowdsec-firewall-bouncer.yaml:ro
      - $DOCKERDIR/infra/cs-firewall-bouncer/log:/var/log/
      - /etc/localtime:/etc/localtime:ro
    restart: always

• 0 = crowdsec decisions/ban list
• 1 = CAPI list
• 2 = tor list
• 3 = handmatige decisions

• De ban-list op basis van CrowdSec detecties is dus erg efficient: die houdt 76% van al het geblokkeerde verkeer tegen. En dat met enkel 163 IP adressen.
• De handmatige lijsten (-3) zijn ook erg efficient, zeker op IPv6! Ik heb dan ook de meest bekende ASNs qua spam/botjes volledig geblokkeerd (hostglobal, censys arin 1/2/3).
• Hele grote blocklists houden wel tegen, maar procentueel doen ze eigenlijk weinig.
• Helt lijstje van 5 IPv6 adressen heeft de hoogste hit ratio. Best wel leuk.

alex3305 schreef op woensdag 5 november 2025 @ 22:27:
@Mars Warrior Mooi om te zien dat het goed z'n werk doet .

Ik mis denk ik iets, want hoezo heb jij nog extra blocklists? Ik heb de drie gratis blocklists een hele tijd terug toegevoegd, maar toen ik er 1 weghaalde of eigenlijk in wilde wisselen, heb ik dat slot niet meer teruggekregen .

Verder gebruik ik gewoon de standaard en heb ik er eigenlijk ook geen omkijken naar. Het lijkt allemaal z'n werk te doen. Dat is wel mooi .

offtopic:
Ik zou eigenlijk nog eens een Crowdsec bouncer willen combineren met Unifi. Wellicht dat ik daar nog eens aan begin.

1
2
3
4
5

services:
  my-service:
    image: postgresql
    environment:
      POSTGRES_USER: ${DB_USER}

1
2
3
4

services:
  my-service:
    image: postgresql
    env_file: [.env]

Maar waarom geen NextCloud AIO? Dat is gewoon draaien, toch?

alex3305 schreef op donderdag 6 november 2025 @ 11:56:
@Mars Warrior Volgens mij wordt het (deels) gefinancierd door de EU als alternatief tegenover de Amerikaanse reuzen. Niet slecht dunkt me.

Meestal lees ik wat (voorbeeld) code om eruit te komen voordat ik de documentatie induik. Maar allebei vind ik het onleesbaar. Ik vond wel dit blog die het e.e.a. uitlegt, maar die gozer doet security through obsecurity en daar krijg ik toch altijd een beetje de kriebels van.

Idem voor environment variabelen die je daarna include met iets andere namen. WAAROM?! Het zal mij een worst zijn of je nou:

YAML:

1 2 3 4 5

services: my-service: image: postgresql environment: POSTGRES_USER: ${DB_USER}

of

YAML:

1 2 3 4

services: my-service: image: postgresql env_file: [.env]

doet . Waarbij bij het eerste voorbeeld de variabele DB_USER en bij het tweede voorbeeld de variabele POSTGRES_USER in de env file staat.

En dan is dit een slecht voorbeeld, want voor 3, 4 of 8 variabelen vind ik het tot daaraan toe. Maar conform de repo heb ik een env file van 100+ regels. Wel met commentaar, maar na eenmalige configuratie kan me dat over het algemeen toch gestolen worden. Ook is de repo ook niet erg consistent in zaken zoals formatting. Dat stoort mij meer dan zou moeten .

Overigens lijk ik 90% te zijn, alleen de IdP integratie (Pocket ID) loopt enorm moeizaam. Ik verwacht simpelweg een Issuer URL, Client ID en Client Secret en dan gaan, maar blijkbaar denk ik dan te simpel. Volgens de Pocket ID documentatie zijn het PKCE clients zonder secret. Allemaal weer prima, alleen weer een extra afwijkende configuratie.

Ik heb dat weleens geprobeerd. Ook de niet-AIO variant overigens. Maar ik vond dat een enorm log systeem en niet onderhoudbaar. Met mijn Renovate setup heb ik trouwens ook de spreekwoordelijke pleuris aan AIO deployments. Alhoewel het soms niet anders kan .

• Telegraf zou met docker labels kunnen werken. Dan kan ik via labels pad, poort en interval kunnen opgeven
• Ook zou een label de CrateDB tabel kunnen aangeven. Ik wil dan per service een aparte tabel. Mixen heeft voor mij geen nut.
• CrateDB kan key/value pairs opslaan en is één van de snelste databases die ik ken
• Metabase zou dan voor visualisatie zijn. Is simpel met SQL queries, dus ik kan ook custom queries maken die enkel CrateDB kent/snapt (key/value pairs)
• Aangezien CrateDB Postgres praat is koppelen aan andere systemen ook geen probleem. Al die custom rare niet-SQL ben ik beetje zat.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28

[agent]
  round_interval = true
  metric_batch_size = 1000
  metric_buffer_limit = 10000
  omit_hostname = true

[[inputs.prometheus]]
  ## Automatisch containers met metrics.enable=true scrapen
  [inputs.prometheus.discovery]
    docker_labels_include = ["metrics.enable", "metrics.port", "metrics.path", "metrics.job", "metrics.interval"]
    docker_label_filter = { "metrics.enable" = "true" }

  ## Interval-label uitlezen (ondersteund sinds 1.30)
  interval_label = "metrics.interval"

  ## Vorm van de URL op basis van labels
  url_label = "metrics.path"
  job_label = "metrics.job"
  port_label = "metrics.port"

  ## Extra tag (servernaam)
  [inputs.prometheus.tags]
    node = "$METRICS_NODE"

[[outputs.postgresql]]
  address = "host=cratedb port=5432 user=crate dbname=metrics sslmode=disable"
  table_template = "metrics_{{ .Tags.job }}"
  create_templates = true

RobertMe schreef op donderdag 9 oktober 2025 @ 17:32:
Enige "issue" waar ik nu met Podman tegenaan loop is dat Telegraf draaiende onder de telegraf user natuurlijk geen toegang heeft tot de Podman socket (Docker compatibiliteit) aangezien Podman alles doet onder de user die het commando uitvoert en dus geen "extra" toegang geeft (zoals bij Docker zelf dus iedereen in de "docker" user group toegang heeft tot de socket).

Mars Warrior schreef op donderdag 6 november 2025 @ 12:29:

Zou dan zoiets worden in Telegraf (bedacht door ChatGPT, dus kan nog totale onzin zijn, of een mix van versies, of iets dat helemaal nooit heeft bestaan):

Wie weet

[ Voor 14% gewijzigd door Mars Warrior op 06-11-2025 19:42 ]

Mich schreef op donderdag 6 november 2025 @ 23:00:
@Mars Warrior @alex3305

Hebben jullie ook ervaring met https://app.crowdsec.net/hub hier kan je crowdsec nog mee uitbreiden met verschillende dingen. Bijvoorbeeld door crowdsec in bepaalde log files te laten kijken en extra appsec rules. Ik heb zelf crowdsec draaien op opnsense. Zie in de firewall ook wel dat her en der wat geblokkeerd wordt maar moet me er nog wat meer in verdiepen. Ook welke gratis blocklists nu het beste zijn.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38

#!/bin/bash
# Toon overzicht van CrowdSec-ipsets met counters en efficiency (packets)

echo -e "Blacklist\tEntries\tPackets\tHits/IP\t% of total"

# 🧮 1. Verzamel alle match-set regels uit iptables en ip6tables
iptables_output=$(sudo iptables  -L CROWDSEC_CHAIN -v -n 2>/dev/null)
ip6tables_output=$(sudo ip6tables -L CROWDSEC_CHAIN -v -n 2>/dev/null)

# 🧮 2. Totaal aantal packets (alle regels samen)
total=$(
  echo "$iptables_output"$'\n'"$ip6tables_output" \
  | awk '/match-set/ {s+=$1} END{print s+0}'
)

# 🧮 3. Maak mapping ipset -> packets in één awk-run
declare -A pkts_map
while read -r name pkts; do
  [[ -n "$name" ]] && pkts_map["$name"]=$(( ${pkts_map["$name"]:-0} + pkts ))
done < <(
  echo "$iptables_output"$'\n'"$ip6tables_output" \
  | awk '/match-set/ {
      for (i=1; i<=NF; i++) if ($i=="match-set") print $(i+1), $1
    }'
)

# 🧮 4. Loop over alle ipsets
for set in $(sudo ipset list | awk '/Name: crowdsec/ {print $2}'); do
  entries=$(sudo ipset list "$set" | awk '/Number of entries/ {print $4}')
  pkts=${pkts_map["$set"]:-0}

  [[ "$entries" -gt 0 ]] && ratio=$(awk -v p="$pkts" -v e="$entries" 'BEGIN{printf "%.2f", p/e}') || ratio=0
  [[ "$total"   -gt 0 ]] && pct=$(awk -v p="$pkts" -v t="$total" 'BEGIN{printf "%.2f", (p/t)*100}') || pct=0

  printf "%-25s\t%10s\t%10s\t%10s\t%10s\n" "$set" "$entries" "$pkts" "$ratio" "$pct"
done | column -t

echo -e "\nTotal packets dropped: $total"

[ Voor 25% gewijzigd door Mars Warrior op 07-11-2025 10:11 ]

Mars Warrior schreef op vrijdag 7 november 2025 @ 13:54:
@Mich , hier zie je ook nog een keer het effect van het combineren met de cs-firewall-bouncer waarmee bans in ip/nftables worden gezet, en Traefik en de CrowdSec bouncer die pakketjes niet meer zien.

Zo rond 27/28 oktober heb ik de firewall container acief gemaakt. Je ziet een enorme daling in het aantal events dat door CrowdSec wordt geregistreerd. Ik heb met de installatie van de firewall container ook de bantijd verhoogd naar 24 dagen / 576 uur.

Tegelijkertijd zie je ook een flinke daling in het aantal unieke bans per dag. Het zal nooit 0 worden, daarvoor zijn er teveel botjes en cloud centra die die botjes hosten. Ik zie ook in mijn dashboards nu voornamelijk FTO's (First Time Offenders).

Door die standaard bantijd van 24 dagen is de CrowdSec blacklist dus ook meteen de meest effectieve van alle blacklists die ik gebruik. Ze leren hier namelijk niks van en komen gewoon weer terug als de ban is opgeheven. Vandaar wil ik naar een permanente block in de firewall van alle ip adressen die door CrowdSec geblokkeerd zijn. Dan zie ik ze ook nooit meer terug.

Sinds activeren firewall (en geen reboots, want dan start de teller weer op 0) dus zo'n 32.000 packets dropped. Zeg 11 dagen, dus gemiddeld 2.900 per dag. En dat op een gewoon consumenten lijntje van de KPN.

[Afbeelding]

[Afbeelding]

Airw0lf schreef op zondag 9 november 2025 @ 10:26:
[...]
Waar komt dit plaatje vandaan?

Ik gebruik zelf Swag als proxy - daar is een CrowdStrike mod voor.
Fail2Ban zou ik dan willen vervangen door CrowdStrike.
Mijn zorg zit hem in de dashboard mod - gaat die nog iets laten zien van de resultaten met CrowdStrike.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106

WITH latest_per_ip AS (
    SELECT
        value AS ip,
        MAX(created_at) AS last_created
    FROM decisions
    WHERE until > datetime('now')
      AND origin = 'crowdsec'
    GROUP BY value
)
SELECT
    datetime(d.created_at, 'localtime') AS "Tijdstip",

    -- Hoe lang geleden
    CASE
        WHEN CAST((julianday('now') - julianday(d.created_at)) * 24 * 60 AS INT) < 60
            THEN printf('%d minuten geleden',
                CAST(((julianday('now') - julianday(d.created_at)) * 24 * 60) % 60 AS INT)
            )
        WHEN CAST((julianday('now') - julianday(d.created_at)) AS INT) = 0
            THEN printf('%d uur geleden',
                CAST(((julianday('now') - julianday(d.created_at)) * 24) % 24 AS INT)
            )
        WHEN CAST((julianday('now') - julianday(d.created_at)) AS INT) = 1
            THEN
                CASE
                    WHEN CAST(((julianday('now') - julianday(d.created_at)) * 24) % 24 AS INT) = 0
                        THEN '1 dag geleden'
                    ELSE printf('1 dag, %d uur geleden',
                        CAST(((julianday('now') - julianday(d.created_at)) * 24) % 24 AS INT)
                    )
                END
        ELSE
            CASE
                WHEN CAST(((julianday('now') - julianday(d.created_at)) * 24) % 24 AS INT) = 0
                    THEN printf('%d dagen geleden',
                        CAST((julianday('now') - julianday(d.created_at)) AS INT)
                    )
                ELSE printf('%d dagen, %d uur geleden',
                    CAST((julianday('now') - julianday(d.created_at)) AS INT),
                    CAST(((julianday('now') - julianday(d.created_at)) * 24) % 24 AS INT)
                )
            END
    END AS "Geleden",

    -- Hoe lang nog actief
    CASE
        WHEN CAST((julianday(d.until) - julianday('now')) * 24 * 60 AS INT) < 60
            THEN printf('%d minuten',
                CAST(((julianday(d.until) - julianday('now')) * 24 * 60) % 60 AS INT)
            )
        WHEN CAST((julianday(d.until) - julianday('now')) AS INT) = 0
            THEN printf('%d uur',
                CAST(((julianday(d.until) - julianday('now')) * 24) % 24 AS INT)
            )
        WHEN CAST((julianday(d.until) - julianday('now')) AS INT) = 1
            THEN
                CASE
                    WHEN CAST(((julianday(d.until) - julianday('now')) * 24) % 24 AS INT) = 0
                        THEN '1 dag'
                    ELSE printf('1 dag, %d uur',
                        CAST(((julianday(d.until) - julianday('now')) * 24) % 24 AS INT)
                    )
                END
        ELSE
            CASE
                WHEN CAST(((julianday(d.until) - julianday('now')) * 24) % 24 AS INT) = 0
                    THEN printf('%d dagen',
                        CAST((julianday(d.until) - julianday('now')) AS INT)
                    )
                ELSE printf('%d dagen, %d uur',
                    CAST((julianday(d.until) - julianday('now')) AS INT),
                    CAST(((julianday(d.until) - julianday('now')) * 24) % 24 AS INT)
                )
            END
    END AS "Ban Resterend",

    printf('%s - %s', a.source_country, IFNULL(a.source_as_name, 'Onbekend'))  AS "ASN",
    concat('https://flags.example.com/hatscripts/circle-flags/', lower(a.source_country), '.svg') AS "Land",

    d.value AS "IP Adres",
    d.scenario AS "Scenario",
    a.events_count AS "Events",
    
    -- ✅ som van alle events over dit IP
    (
        SELECT SUM(a2.events_count)
        FROM alerts AS a2
        JOIN decisions AS d2
          ON a2.id = d2.alert_decisions
        WHERE d2.value = d.value
    ) AS "Totaal Events",
    
    printf(
        '%d / %d',
        (SELECT COUNT(*) FROM decisions d2 WHERE d2.value = d.value AND d2.until > datetime('now')),
        (SELECT COUNT(*) FROM decisions d3 WHERE d3.value = d.value)
    ) AS "Bans (act/tot)"

FROM decisions AS d
LEFT JOIN alerts AS a
  ON d.alert_decisions = a.id
JOIN latest_per_ip AS l
  ON d.value = l.ip AND d.created_at = l.last_created
WHERE d.until > datetime('now')
  AND d.origin = 'crowdsec'
ORDER BY d.created_at DESC;

1
2
3
4
5
6
7
8
9
10
11

Blacklist             Entries Packets Hits/IP % of total
crowdsec-blacklists-0   212    26592  125,43  72,11
crowdsec-blacklists-1   14632  5979   0,41    16,21
crowdsec-blacklists-2   470    167    0,36    0,45
crowdsec6-blacklists-0  543    213    0,39    0,58
crowdsec6-blacklists-1  567    0      0,00    0,00
crowdsec6-blacklists-2  11     257    23,36   0,70
crowdsec-blacklists-3   17     2699   158,76  7,32
crowdsec6-blacklists-3  5      972    194,40  2,64

Total packets dropped: 36879

• UCE Level 1: op IP adres, dus nauwkeurig, en kleine kans op false positives
• UCE Level 2: op subnet, dus grotere kans op missers
• UCE Level 3: op ASN niveau, de meest grove block die UCE kent

• UCE-L1 --> 30, 13%
• UCE-L2 --> 49, 21%
• UCE-L3 --> 75, 32%

• UCE L1 is dus een match op ip adres
• UCE L2 geeft bij de details het subnet weer dat je zou moeten blokkeren
• UCE L3 geeft in de basis de ASN, waarvan je de ip ranges bijv. bij whosi.radb.net kunt opvragen

[ Voor 14% gewijzigd door Mars Warrior op 10-11-2025 18:06 ]

1.24 is too old. Minimum supported API version is 1.44

[ Voor 6% gewijzigd door Webgnome op 11-11-2025 08:43 ]

Webgnome schreef op dinsdag 11 november 2025 @ 08:37:
Heeft iemand wel eens het volgende gehad?
Vanmorgen wilde ik mijn development omgeving starten. We maken gebruik van Traefick ( latest ) en diverse andere containers die via labels zich kenbaar maken aan Traefick. Dat heeft altijd gewerkt als een tierelier. Nu draai ik elke ochtend een apt update etc en daarna werkte traefik discovery ineens niet meer lekker.

Na wat gerommel kwam ik dit tegen in de logs

[...]


Wat ik echter gek vind

1. Ik heb traefik latest image (docker compose file )
2. Docker versies zijn up to date ( beide v29, zowel client als server )
3. Het setten van de api version naar 1.24 wat volgens sommige bronnen zou werken zorgt er alleen maar voor dat heel docker er mee stopt (wat ergens logisch is )

Iemand enig idee wat hier nu aan te doen anders dan downgraden?

blijkbaar meerdere mensen last van: https://community.traefik...ld-api-version-1-24/29019

1
2
3
4
5
6

systemctl edit docker.service
Add this part above the line ### Lines below this comment will be discarded:
[Service]
Environment=DOCKER_MIN_API_VERSION=1.24
Save the file and exit
systemctl restart docker

ed1703 schreef op dinsdag 11 november 2025 @ 11:32:
[...]

Dit dus getest?

code:

1 2 3 4 5 6

systemctl edit docker.service Add this part above the line ### Lines below this comment will be discarded: [Service] Environment=DOCKER_MIN_API_VERSION=1.24 Save the file and exit systemctl restart docker

Zonder heel erg belerend over te willen komen: Ik zou een beetje oppassen met de laatste versie willen draaien als er BREAKING CHANGES en ook geen CVE's in de Release Notes staan. Watchtower van containrrr zou ik sowieso vervangen voor iets anders voor degenen die dat draaien: https://github.com/nicholas-fedor/watchtower is misschien een optie.

Ben benieuwd of github gaat overstromen met issues die hieraan gerelateerd zijn.

[ Voor 13% gewijzigd door Webgnome op 11-11-2025 13:27 ]

Webgnome schreef op dinsdag 11 november 2025 @ 12:43:
[...]


Er zit in de code van traefik een constante die de versie van de api hard op 1.24 forceert. Env variabelen hebben er dus geen vat op. Daar zit het probleem. Gelukkig was de fix makkelijk. Even terug naar een veilige versie van docker en het werkt weer

Webgnome schreef op dinsdag 11 november 2025 @ 12:43:
[...]


Er zit in de code van traefik een constante die de versie van de api hard op 1.24 forceert. Env variabelen hebben er dus geen vat op. Daar zit het probleem. Gelukkig was de fix makkelijk. Even terug naar een veilige versie van docker en het werkt weer

[ Voor 19% gewijzigd door Webgnome op 11-11-2025 13:30 ]

[ Voor 8% gewijzigd door DjoeC op 11-11-2025 13:42 ]

DjoeC schreef op dinsdag 11 november 2025 @ 13:35:
Het is een probleem in veel container images MAAR dat maakt t nog geen Docker probleem.

1.24 is too old. Minimum supported API version is 1.44

DjoeC schreef op woensdag 12 november 2025 @ 13:46:
[...]
Huh? Die melding staat bij mij in het log van de container die niet werkt.... Als jij daar meer images in hebt moet je toch effe zoeken.

Freee!! schreef op woensdag 12 november 2025 @ 13:54:
[...]

Ik kreeg die melding in veelvoud in de mail

DjoeC schreef op woensdag 12 november 2025 @ 13:57:
[...]
Gelukkig krijg ik (nog) geen mails van elke melding. Da's misschien een toekomstig traject..... Portainer wilde niet correct werken en dus keek ik mbv Dozzle effe snel in het container log.

DjoeC schreef op woensdag 12 november 2025 @ 13:51:
[...]
Helaas zijn niet alle (opensource) bouwers mensen met een "been there, done that" ervaring. Na een aantal jaren weet je waar je je een keer flink aan gaat branden. En hard coderen is er 1 van, niet testen tegen de "RC's" van je basis (noem docker maar het OS) is een andere..... Maar, t scheelt wel veel tijd die je aan nieuwe features kunt besteden.... Geen betere tester dan je eindgebruiker

Mars Warrior schreef op woensdag 12 november 2025 @ 14:07:
[...]

Ik snap je punt, maar Traefik is geen hobby clubje in deze.

Verder had ik van Docker verwacht dat ze in v28 toch wel depricated meldingen zouden geven om mensen wakker te maken. Dat hoefrt dan niet de bouwer te zijn, maar een gebruiker kan daarop ook een bug report inschieten. Dan helpen we elkaar tenminste.

Nu lijkt dat niet gedaan te zijn, waardoor alles bij een simpele apt update of docker pull vastloopt.

Mars Warrior schreef op woensdag 12 november 2025 @ 14:07:
[...]

Ik snap je punt, maar Traefik is geen hobby clubje in deze.

Verder had ik van Docker verwacht dat ze in v28 toch wel depricated meldingen zouden geven om mensen wakker te maken. Dat hoefrt dan niet de bouwer te zijn, maar een gebruiker kan daarop ook een bug report inschieten. Dan helpen we elkaar tenminste.

Nu lijkt dat niet gedaan te zijn, waardoor alles bij een simpele apt update of docker pull vastloopt.

ed1703 schreef op woensdag 12 november 2025 @ 14:52:
[...]

Tja, als ontwikkelaar en beheerder hoor je bij zoiets belangrijks als moby->docker de release-notes te lezen voordat je een major-release gaat installeren. Ik ben het deels wel met je eens hoor, maar hoeveel keer en op hoeveel plekken moet men het dan wel niet neerzetten?

Mars Warrior schreef op woensdag 12 november 2025 @ 15:16:
[...]

Het gaat er ook om dat je anderen ruim de tijd geeft om alvast een compatibele versie uit te brengen. Dat gaat vaak niet ff in een weekje ofzo.

Deprecate legacy API versions
Deprecated in release: v25.0

Target for removal in release: v26.0

The Docker daemon provides a versioned API for backward compatibility with old clients. Docker clients can perform API-version negotiation to select the most recent API version supported by the daemon (downgrading to and older version of the API when necessary). API version negotiation was introduced in Docker v1.12.0 (API 1.24), and clients before that used a fixed API version.

Use of old API versions is very rare, and support for legacy API versions involves significant complexity (Docker 1.0.0 having been released 10 years ago). Because of this, we'll start deprecating support for legacy API versions.

ed1703 schreef op woensdag 12 november 2025 @ 16:04:
[...]


[...]

Eigenlijk had men dus al sinds januari 2024 kunnen weten dat men langzamerhand afscheid zou gaan nemen van legacy API versions. Geheel te wijten aan het niet lezen van Release Notes door het Traefik team

synoniem schreef op woensdag 12 november 2025 @ 16:21:
[...]

Of een gevalletje van een regression.

ed1703 schreef op woensdag 12 november 2025 @ 16:04:
[...]
[...]
Eigenlijk had men dus al sinds januari 2024 kunnen weten dat men langzamerhand afscheid zou gaan nemen van legacy API versions. Geheel te wijten aan het niet lezen van Release Notes door het Traefik team

[ Voor 7% gewijzigd door Mars Warrior op 12-11-2025 18:52 ]

babbelbox schreef op donderdag 13 november 2025 @ 23:02:
Voor zover ik kan vinden is de docker image nog niet geüpdatet.
Die haalt nog steeds 3.6.0 binnen.