Som ny bruger af Ubuntu, er UFW (Uncomplicated Firewall) et godt valg når der skal sættes firewall op på grund af dets brugervenlighed.
For mindre komplekse netværksmiljøer foretrækker jeg normalt UFW frem for manuelt at skrive IPtables-regler.
Fail2ban kommer dog ikke med out of the box konfiguration til UFW som standard. Derfor vil jeg gerne dele mine konfiguration som du er velkommen til at bruge.
Sådan sætter du UFW op sammen med Fail2ban.
For at bruge UFW med Fail2ban, skal du først installere Fail2ban samt UFW på din server. Dette kan nemt gøres med ”apt”. Brug denne kommando:
apt update && apt install fail2ban ufw -y
OBS:
- Hvis du har brug for hjælp til at sætte Fail2ban op med den grundlæggende konfiguration, kan du bruge denne guide fra howtoforge.com: https://www.howtoforge.com/how-to-install-fail2ban-on-ubuntu-22-04/
- Hvis du har brug for hjælp til at sætte UFW op med den grundlæggende konfiguration, kan du bruge denne guide fra howtoforge.com: https://www.howtoforge.com/ufw-uncomplicated-firewall-on-ubuntu/
Som standard kan jail-konfigurationsfilen findes på /etc/fail2ban/jail.conf. Dog anbefaler jeg stærkt du laver en /etc/fail2ban/jail.local og bruger denne fil til din konfiguration.
Brug denne kommando til at oprette jail.local: sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
Indset nedestående konfiguration i (/etc/fail2ban/jail.local) og tilret eventuelt filen – Du kan også selv tilføje flere konfigurationer.
[ufw] enabled=true filter=ufw.aggressive action=iptables-allports logpath=/var/log/ufw.log maxretry=1 bantime=-1 [sshd] enabled=true filter=sshd mode=normal port=22 protocol=tcp logpath=/var/log/auth.log maxretry=3 bantime=-1 ignoreip = 127.0.0.0/8 ::1
Næste skridt er at vi skal oprette en filterkonfigurationsfil på /etc/fail2ban/filter.d/ufw.aggressive.conf og tilføje følgende indhold:
[Definition] failregex = [UFW BLOCK].+SRC= DST ignoreregex =
Dette vil gøre det muligt for Fail2ban at opnå den kilde-IP, der er blevet slettet eller afvist af UFW, og håndhæve den politik, vi definerede tidligere.
Start nu Fail2ban-tjenesten
systemctl enable fail2ban
systemctl start fail2ban
systemctl status fail2ban
Kontroller nu jail conifg status med disse kommandoer
fail2ban-client status ufw
fail2ban-client status sshd
Unban af IP:
fail2ban-client set ufw unbanip IP-DU-VIL-UNBAN F.eks fail2ban-client set ufw unbanip 192.0.2.2
VIGTIG:
Når du har konfigureret Fail2ban som beskrevet ovenfor, vil enhver, der forsøger at scanne serverportene straks blive banned af UFW og de vil ikke længere være i stand til at tilslutte servers IP / porte
Det er dog vigtigt at være forsigtig, hvis du har blokeret ICMP-anmodninger i UFW, da Fail2ban også blokerer alle, der forsøger at pinge din server.
Min erfaring:
Min erfaring er, at jeg ved et uheld blokerede mig selv én gang og var nødt til at bruge et andet netværk for at oprette forbindelse til serveren. Dog var det var helt min egen fejl!
Derfor brug værktøjet omhyggeligt og tilføj eventuelle IP-adresser, som skal kunne oprette forbindelse til serveren under “ignoreip” i din ”/etc/fail2ban/jail.local”