— e.g. Docker, Fail2Ban, libvirt — In real-world environments, we often maintain our own firewall scripts — for example, to handle NAT, DNAT, outbound access control, or time-based restrictions.However, servers frequently run services such as Docker, Fail2Ban, or libvirt, which also manage their own iptables rules. If you flush all existing rules using something like…
Blog
自建防火牆,不干擾其他系統服務的防火牆規則
— 以 Docker、Fail2Ban 為例 — 在實際維運環境中,我們常會自己寫一份防火牆腳本來控管流量,例如 NAT、DNAT、上網白名單、時間限制等。但如果主機同時運行 Docker、Fail2Ban、libvirt 等服務,這些服務也會在 iptables 中自動產生規則。若不小心「清空整個防火牆」,就會把它們的規則一併刪除,導致容器、SSH、甚至 fail2ban 全部失效。 本文介紹一個簡潔安全的方式: 建立自有鏈 (custom chains),在不影響其他服務的前提下,自行維護防火牆邏輯。 🧩 為什麼會互相影響? 因為許多服務(像 Docker、Fail2Ban)啟動時都會自動執行: 或建立自己的鏈: 如果我們的腳本中也執行 iptables -F、iptables -X,那就會清空這些鏈的規則,導致: ✅ 解決原則:用「自有鏈」管理,不清整表 我們不再動系統原生的 INPUT、FORWARD、OUTPUT 等預設鏈,而是在它們裡面「插入一次跳轉」到我們自己的鏈,例如: 這樣: 🔧 實作架構範例 建立自有鏈(只清自己的鏈) 🔍 各表的職責清楚分工 Table 主要職責 我們自有鏈功能 filter ACL(放行、封鎖) FW-INPUT, FW-FORWARD(包含上網白名單、時間控管) nat 位址轉換 FW-PREROUTING(DNAT)、FW-POSTROUTING(MASQ / Hairpin) mangle 封包修改 FW-FORWARD(MSS Clamp for PPPoE)…
Wazuh: The Core Concept and Working Principles of an Open-Source MDR Platform
In today’s rapidly evolving cybersecurity landscape, organizations face challenges that go far beyond preventing traditional malware infections. The real question has become how to detect threats early, respond quickly, and maintain continuous monitoring. Traditional antivirus and firewalls stop known threats, but they often miss subtle or unknown attacks happening inside the environment.This is where MDR…
Wazuh:開源 MDR 平台的核心概念與運作原理
在資安威脅不斷演變的今天,企業面臨的挑戰不再只是防止病毒入侵,而是如何即時偵測、快速反應、持續監控。傳統防毒與防火牆只能擋住「已知威脅」,但無法即時發現內部異常行為或未知攻擊。這時,MDR(Managed Detection and Response) 的概念便應運而生。 而在眾多 MDR 解決方案中,Wazuh 以開源、靈活與整合能力強等特點,成為許多企業自建 SOC(Security Operation Center)時的首選。 一、什麼是 Wazuh? Wazuh 是一套開源的 安全監控與威脅回應平台,同時具備: 換句話說,Wazuh 能幫助企業從「事後分析」轉變為「主動偵測與即時回應」。 二、整體架構概覽 Wazuh 採用 分散式架構,主要由三個核心元件組成: 整個架構可擴充至多台 Manager、分層式部署,適合跨國或多據點企業使用。 三、運作原理:從資料收集到自動回應 1️⃣ 資料收集(Data Collection) 每台主機上安裝的 Wazuh Agent 會定期蒐集各種安全相關事件,例如: 這些資料會加密傳送到 Wazuh Manager 進行集中分析。 2️⃣ 規則比對與威脅分析(Detection & Correlation) Manager 接收到事件後,會利用內建與自訂的規則集(ruleset)進行分析: 這個階段的分析可搭配: 3️⃣ 威脅關聯與分級(Correlation & Prioritization) Wazuh 會根據事件嚴重度(level 0–15)進行分級。例如: 透過事件關聯分析,能有效降低誤報率,提升告警的精確度。 4️⃣ 自動化回應(Response &…
Understanding VLAN Configuration in Proxmox VE — A Practical Guide
Introduction In a virtualized environment, VLANs (Virtual LANs) play a crucial role in network isolation and segmentation.Within Proxmox VE (PVE), VLANs can be managed through Linux bridges (e.g., vmbr0) combined with VLAN tagging, allowing multiple VMs to share a single physical NIC while staying securely separated across different subnets.This article summarizes my hands-on experience configuring…
Proxmox VE 中的 VLAN 架構與 VM 網路設定實戰指南
前言 在虛擬化環境中,VLAN(Virtual LAN) 是網路隔離與分流的核心機制。在 Proxmox VE (PVE) 裡,透過 Linux Bridge(例如 vmbr0)搭配 VLAN tag,就能讓多個 VM 共用一張實體網卡,卻依然區隔不同子網。這篇文章記錄了我在實際部署過程中對 VLAN 架構的理解與設定步驟,作為日後參考筆記。 一、VLAN 的基本概念 在實體交換器(例如 Unifi、Juniper、Cisco)上,只要對 port 設為 Trunk 模式,允許多個 VLAN 通過,就能讓 Proxmox 的一張 NIC(例如 enp3s0)同時承載多個 VLAN。 二、Proxmox 中的網路邏輯 Proxmox 的網路基礎是 Linux Bridge。當你建立 vmbr0 時,它就像一個虛擬交換器,VM、Container 與實體網卡都能接在上面。 範例: 🔹 說明: 三、在 VM 上設定 VLAN Tag 每台 VM 的網卡(例如 net0)都可以指定 VLAN tag。當…
Understanding Software-Defined Storage and Ceph – A Modern Approach to Data Management
Introduction In modern IT infrastructure, data is the lifeblood of every business. As virtualization, containers, and cloud systems grow, traditional storage solutions often struggle to keep up. Software-Defined Storage (SDS) has emerged as a transformative approach — shifting intelligence from proprietary hardware to flexible, scalable software. One of the most powerful open-source implementations of SDS…
軟體定義儲存與 Ceph —— 現代資料管理的核心理念
前言 在現代 IT 基礎架構中,資料是企業的命脈。隨著虛擬化、容器化與雲端應用的普及,傳統儲存架構逐漸難以滿足高擴充性與高可靠性的需求。軟體定義儲存(Software-Defined Storage, SDS) 因此誕生,透過軟體將儲存控制邏輯從昂貴的專用硬體中解放出來。而在眾多 SDS 解決方案中,Ceph 是最具代表性的開源系統之一。 一、什麼是軟體定義儲存 (SDS) 🔹 定義 軟體定義儲存(SDS)是指將儲存管理的智慧邏輯從硬體中抽離,透過軟體來統一管理與分配儲存資源。它不再依賴昂貴的儲存控制器,而是利用多台普通伺服器的硬碟、SSD,形成一個高可用、高擴充的分散式儲存系統。 簡單來說: SDS = 「用軟體」定義並管理「儲存資源」。 二、傳統儲存 vs. 軟體定義儲存 項目 傳統 SAN / NAS 軟體定義儲存 (SDS) 架構 專用儲存控制器 普通伺服器 + 軟體管理 擴充方式 垂直擴充(加大硬體) 水平擴充(加節點) 容錯機制 RAID 節點間複製 / 編碼修復 成本 高、受廠商限制 低、硬體自由搭配 管理方式 手動設定、專用介面 軟體集中管理、API 自動化 常見產品 EMC、NetApp、Synology Ceph、GlusterFS、TrueNAS SCALE 透過 SDS,企業能以標準…
Proxmox VE Backup Strategy – Complete Guide
Introduction In any virtualized environment, backup is the foundation of system reliability. Proxmox VE provides a powerful, integrated backup and restore mechanism. When combined with Proxmox Backup Server (PBS), it delivers a fast, secure, and efficient solution for virtual machine and container protection. 1. Proxmox Backup Architecture Overview Proxmox VE natively integrates with Proxmox Backup…
Proxmox VE 備份策略完整指南
前言 在虛擬化環境中,備份 是確保業務持續運作的關鍵要素之一。Proxmox VE 內建完善的備份與還原機制,搭配 Proxmox Backup Server (PBS),能夠達到高效率、低成本又安全的虛擬機備份方案。 一、Proxmox 備份架構概念 Proxmox VE 與 Proxmox Backup Server (PBS) 深度整合,可對 VM(KVM 虛擬機)、CT(LXC 容器)及系統設定進行高效備份。 主要特點: 二、Proxmox 備份類型 類型 說明 適用場景 Snapshot 備份 使用 LVM/ZFS snapshot 進行熱備份,不中斷服務。 適合 ZFS 或 LVM-thin 儲存類型。 Suspend 備份 備份過程中暫停 VM,備份完成後再恢復。 適合資料一致性要求高的系統。 Stop 備份 關機後備份整個磁碟。 適合無法支援 snapshot 的儲存類型。 三、備份儲存目標類型 Proxmox 可將備份存放於多種儲存端: 範例設定(/etc/pve/storage.cfg): pbs:…