потенциальные конфликты ufw и fail2ban

Будет ли запуск обоих fail2ban и ufw вызывать проблемы? Я заметил, что fail2ban изменяет правила iptables, но у ufw уже есть тонна определенных правил iptables ... поэтому я не уверен, что fail2ban испортит их.

Вы можете использовать ufw и fail2b вместе, но, как указано ранее, важен порядок правил (ufw).

Из коробки, fail2ban использует iptables и сначала вставляет правила в цепочку INPUT. Это не принесет никакого вреда или конфликта с UFW.

Если вы хотите полностью интегрировать fail2ban, используйте ufw (а не iptables). Вам нужно будет отредактировать ряд файлов, включая

/etc/fail2ban/jail.local

jail.local - это место, где вы определяете свои сервисы, включая то, какой порт они слушают (подумайте, изменив ssh на порт не по умолчанию) и какие действия предпримите.

** Пожалуйста, обратите внимание *: никогда не редактируйте jail.conf , ваши изменения должны быть внесены в jail.local! Этот файл начинается с этого:

# Changes:  in most of the cases you should not modify this
#           file, but provide customizations in jail.local file,
#           or separate .conf files under jail.d/ directory

Используя ssh в качестве примера, обратите внимание и на определение порта не по умолчанию =)

[ssh]
enabled = true
banaction = ufw-ssh
port = 2992
filter = sshd
logpath = /var/log/auth.log
maxretry = 3

Затем вы настраиваете fail2ban для использования ufw (один файл .conf для каждой службы)

/etc/fail2ban/action.d/ufw-ssh.conf

Синтаксис

[Definition]
actionstart =
actionstop =
actioncheck =
actionban = ufw insert 1 deny from <ip> to any app OpenSSH
actionunban = ufw delete deny from <ip> to any app OpenSSH

Примечание: Настройка fail2ban использовать UFW и вставить новые правила FIRST с помощью «1» вставки синтаксиса. Удаление найдет правило независимо от порядка.

Здесь есть хороший пост в блоге, который более подробно описан здесь.

http://blog.vigilcode.com/2011/05/ufw-with-fail2ban-quick-secure-setup-part-ii/

[РЕДАКТИРОВАТЬ] Для Ubuntu 16.04+

по умолчанию " defaults-debian.conf" в /etc/fail2ban/jail.dсодержании

[sshd]
enabled = true

будет активирована защита по ssh от fail2ban.

Вы должны поставить это в ложь.

Затем создайте jail.local, как вы это делаете в общем случае, мой будет выглядеть так:

[ssh-with-ufw] 
enabled = true 
port = 22 
filter = sshd 
action = ufw[application="OpenSSH", blocktype=reject] 
logpath = /var/log/auth.log 
maxretry = 3

В установке fail2ban по умолчанию уже есть файл ufw.conf, поэтому создавать его не нужно.

Единственное конкретное изменение для вас jail.local будет в строке действий, где вам нужно поместить соответствующее приложение для защиты и что вы хотите получить в результате.

UFW имеют тенденцию автоматически обнаруживать определенное количество приложений, запущенных по сети. Чтобы получить список, просто введите sudo ufw app list. Это с учетом регистра.

перезагрузите fail2ban, и вы больше не увидите цепочку fail2ban, и если какой-либо IP получит блок, вы увидите его в sudo ufw status

Я годами использовал fail2ban и ufw на нескольких разных компьютерах, и у меня никогда не было проблем. Для настройки fail2ban:

sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
sudo nano jail.local

Теперь отредактируйте файл по своему желанию, например, если вы хотите заблокировать несанкционированный ssh, найдите строки:

[ssh]
enabled  = true
port     = ssh
filter   = sshd
logpath  = /var/log/auth.log
maxretry = 6

если для «enabled» установлено значение «false», измените его на «true», как указано здесь. После того, как вы установите правила, вам нужно перезапустить процесс fail2ban:

sudo /etc/init.d/fail2ban restart

Если вы открыли порт 22 на брандмауэре UFW, fail2ban заблокирует клиентов, которые пытаются подключиться более 6 раз, но это не сломает ваш брандмауэр.

Установка 0.9.5 fail2ban включала в себя ufwдействие, которое мне просто нужно было установить дляbanaction