Som ny bruger af Ubuntu, er UFW (Uncomplicated Firewall) et godt valg når der skal sættes firewall op på grund af dets brugervenlighed.
For mindre komplekse netværksmiljøer foretrækker jeg normalt UFW frem for manuelt at skrive IPtables-regler.
Fail2ban kommer dog ikke med out of the box konfiguration til UFW som standard. Derfor vil jeg gerne dele mine konfiguration som du er velkommen til at bruge.
VIGTIG:
OBS-1. Du skal være meget forsigtig med at bruge denne guide, da du nemt kan få bannet IPere automatiske der ikke var meningen.
OBS-2. Når du har konfigureret Fail2ban som beskrevet, vil enhver, der forsøger at scanne serverportene straks blive banned af Fail2ban
Brug af denne guide er på eget ansvar!
Sådan sætter du UFW op sammen med Fail2ban.
For at bruge UFW med Fail2ban, skal du først installere Fail2ban samt UFW på din server. Dette kan nemt gøres med ”apt”. Brug denne kommando:
OBS:
- Hvis du har brug for hjælp til at sætte Fail2ban op med den grundlæggende konfiguration, kan du bruge denne guide fra howtoforge.com: https://www.howtoforge.com/how-to-install-fail2ban-on-ubuntu-22-04/
- Hvis du har brug for hjælp til at sætte UFW op med den grundlæggende konfiguration, kan du bruge denne guide fra howtoforge.com: https://www.howtoforge.com/ufw-uncomplicated-firewall-on-ubuntu/
Som standard kan jail-konfigurationsfilen findes på /etc/fail2ban/jail.conf. Dog anbefaler jeg stærkt du laver en /etc/fail2ban/jail.local og bruger denne fil til din konfiguration.
Brug denne kommando til at oprette jail.local:
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.localIndset nedestående konfiguration i (/etc/fail2ban/jail.local) og tilret eventuelt filen – Du kan også selv tilføje flere konfigurationer.
xxxxxxxxxx[ufw]enabled=truefilter=ufw.aggressiveaction=iptables-allportslogpath=/var/log/ufw.logmaxretry=1bantime=-1[sshd]enabled=truefilter=sshdmode=normalport=22protocol=tcplogpath=/var/log/auth.logmaxretry=3bantime=-1ignoreip = 127.0.0.0/8 ::1Næste skridt er at vi skal oprette en filterkonfigurationsfil på /etc/fail2ban/filter.d/ufw.aggressive.conf og tilføje følgende indhold:
xxxxxxxxxx[Definition]failregex = [UFW BLOCK].+SRC= DSTignoreregex =Dette vil gøre det muligt for Fail2ban at opnå den kilde-IP, der er blevet slettet eller afvist af UFW, og håndhæve den politik, vi definerede tidligere.
Start nu Fail2ban-tjenesten
xxxxxxxxxxsystemctl enable fail2banxxxxxxxxxxsystemctl start fail2banxxxxxxxxxxsystemctl status fail2banKontroller nu jail conifg status med disse kommandoer
xxxxxxxxxxfail2ban-client status ufwxxxxxxxxxxfail2ban-client status sshdUnban af IP:
fail2ban-client set ufw unbanip IP-DU-VIL-UNBANF.eksfail2ban-client set ufw unbanip 80.11.22.33Min erfaring:
Min erfaring er, at jeg ved et uheld blokerede mig selv én gang og var nødt til at bruge et andet netværk for at oprette forbindelse til serveren. Dog var det var helt min egen fejl!
Derfor brug værktøjet omhyggeligt og tilføj eventuelle IP-adresser, som skal kunne oprette forbindelse til serveren under “ignoreip” i din ”/etc/fail2ban/jail.local”
Læg en kommentar