Som ny bruger af Ubuntu, er UFW (Uncomplicated Firewall) et godt valg når der skal sættes firewall op på grund af dets brugervenlighed.

For mindre komplekse netværksmiljøer foretrækker jeg normalt UFW frem for manuelt at skrive IPtables-regler.

Fail2ban kommer dog ikke med out of the box konfiguration til UFW som standard. Derfor vil jeg gerne dele mine konfiguration som du er velkommen til at bruge.

Sådan sætter du UFW op sammen med Fail2ban.

For at bruge UFW med Fail2ban, skal du først installere Fail2ban samt UFW på din server. Dette kan nemt gøres med ”apt”. Brug denne kommando:

apt update && apt install fail2ban ufw -y

OBS:

• Hvis du har brug for hjælp til at sætte Fail2ban op med den grundlæggende konfiguration, kan du bruge denne guide fra howtoforge.com: https://www.howtoforge.com/how-to-install-fail2ban-on-ubuntu-22-04/
• Hvis du har brug for hjælp til at sætte UFW op med den grundlæggende konfiguration, kan du bruge denne guide fra howtoforge.com: https://www.howtoforge.com/ufw-uncomplicated-firewall-on-ubuntu/

Som standard kan jail-konfigurationsfilen findes på /etc/fail2ban/jail.conf. Dog anbefaler jeg stærkt du laver en /etc/fail2ban/jail.local og bruger denne fil til din konfiguration.

Brug denne kommando til at oprette jail.local: sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

Indset nedestående konfiguration i (/etc/fail2ban/jail.local) og tilret eventuelt filen – Du kan også selv tilføje flere konfigurationer.

[ufw]
enabled=true
filter=ufw.aggressive
action=iptables-allports
logpath=/var/log/ufw.log
maxretry=1
bantime=-1

[sshd]
enabled=true
filter=sshd
mode=normal
port=22
protocol=tcp
logpath=/var/log/auth.log
maxretry=3
bantime=-1
ignoreip = 127.0.0.0/8 ::1

Næste skridt er at vi skal oprette en filterkonfigurationsfil på /etc/fail2ban/filter.d/ufw.aggressive.conf og tilføje følgende indhold:

[Definition]
failregex = [UFW BLOCK].+SRC= DST
ignoreregex =

Dette vil gøre det muligt for Fail2ban at opnå den kilde-IP, der er blevet slettet eller afvist af UFW, og håndhæve den politik, vi definerede tidligere.

Start nu Fail2ban-tjenesten

systemctl enable fail2ban

systemctl start fail2ban

systemctl status fail2ban

Kontroller nu jail conifg status med disse kommandoer

fail2ban-client status ufw

fail2ban-client status sshd

Unban af IP:

fail2ban-client set ufw unbanip IP-DU-VIL-UNBAN

F.eks

fail2ban-client set ufw unbanip 192.0.2.2

VIGTIG:

Når du har konfigureret Fail2ban som beskrevet ovenfor, vil enhver, der forsøger at scanne serverportene straks blive banned af UFW og de vil ikke længere være i stand til at tilslutte servers IP / porte

Det er dog vigtigt at være forsigtig, hvis du har blokeret ICMP-anmodninger i UFW, da Fail2ban også blokerer alle, der forsøger at pinge din server.

Min erfaring:

Min erfaring er, at jeg ved et uheld blokerede mig selv én gang og var nødt til at bruge et andet netværk for at oprette forbindelse til serveren. Dog var det var helt min egen fejl!

Derfor brug værktøjet omhyggeligt og tilføj eventuelle IP-adresser, som skal kunne oprette forbindelse til serveren under “ignoreip” i din ”/etc/fail2ban/jail.local”

Gode Guides:

• Sådan sætter du UFW op på Ubuntu
• Sådan sætter du Fail2ban op på Ubuntu
• Fail2ban main side