fail2ban: ufw - NO, iptables - YES

https://zomro.com/rus/blog/faq/365-how-to-install-and-configure-fail2ban-in-ubuntu-2004

Хочеш, поясню як UFW взаємодіє з fail2ban, або якісь конкретні приклади для веб-серверів?

На Ubuntu Server 24.04 рекомендовано дозволити fail2ban працювати напряму з iptables, а не через ufw. Ось чому:

❗ Причини обрати iptables напряму:

  1. Надійність:

    • fail2ban працює через iptables без посередників, що забезпечує прямий, швидкий і контрольований доступ до блокування IP-адрес.

    • Робота через ufw технічно можлива, але це додає проміжний шар, що може призвести до конфліктів, особливо при складних правилах або власних ufw-профілях.

  2. Гнучкість:

    • Через iptables ти можеш детальніше налаштовувати ланцюжки (chains) і вести роздільну статистику по fail2ban.

    • ufw не дає повного доступу до низькорівневих деталей iptables, тому деякі функції fail2ban можуть працювати менш ефективно.

  3. Офіційна документація fail2ban за замовчуванням передбачає використання iptables.

Як воно працює з iptables:

  • При спрацюванні фільтру fail2ban додає DROP/REJECT правила до спеціального ланцюга f2b-* в iptables.

  • Ці правила автоматично видаляються після закінчення bantime.

А що з ufw?

ufw сам по собі — фронтенд до iptables, тож теоретично можна створити jail типу ufw, який викликає ufw deny для IP. Але:

  • Це повільніше, бо ufw щоразу перевизначає весь набір правил.

  • Іноді після перезавантаження ufw — блокування від fail2ban втрачаються.

  • Не всі дистрибутиви підтримують action = ufw стабільно.

Підсумок:

Метод
Рекомендовано?
Причина

iptables напряму

✅ Так

Швидше, стабільніше, офіційно підтримується

через ufw

⚠ Не рекомендовано

Повільніше, можуть бути конфлікти

Чи правильно я зрозумів? Якщо fail2ban щось запише у iptables, а я потім, через ufw відкрию якійсь порт, то це може скинути попередні налаштування в iptables від fail2ban?

Так, ти правильно зрозумів. І ось детальніше пояснення:

❗ Потенційна проблема: ufw перезаписує правила iptables

Коли ти виконуєш команду ufw enable, ufw reload або змінюєш правила (наприклад, ufw allow 80), ufw перегенеровує всю свою таблицю iptables. Внаслідок цього:

  • Правила, які fail2ban записав у iptables, можуть бути втрачені (видалені).

  • Це особливо стосується, якщо fail2ban додав правила після ufw enable, а ти потім змінив ufw.

Чому так відбувається?

ufw не знає про правила, які створили інші сервіси (fail2ban, Docker, iptables вручну). Він просто:

  • Скидає всі наявні правила.

  • Встановлює ті, що описані у своїй конфігурації (/lib/ufw/user.rules, /etc/ufw/ тощо).

fail2ban, у свою чергу, динамічно додає свої правила після запуску, і їх там нема — тож ufw їх не відновить.

Як уникнути цієї проблеми:

  1. Не використовуй ufw, якщо активно користуєшся fail2ban — краще писати правила напряму через iptables або скриптами.

  2. АБО запускай fail2ban після ufw, і більше не чіпай ufw (не викликай ufw reload, ufw allow, тощо).

  3. Якщо дуже хочеш використовувати ufw, то:

    • Додай fail2ban до systemd після ufw:

      systemctl edit fail2ban

      І встав:

      [Unit]
After=ufw.service
Requires=ufw.service

Альтернатива:

  • Налаштуй iptables напряму (або nftables, якщо сучасніший підхід).

  • А ufw взагалі відключи:

    ufw disable
systemctl disable ufw

якщо я відключу ufw, то правила, які ввів через нього в iptables все одно будуть діяти?

Ні, правила, які ти додав через ufw, перестануть діяти після ufw disable, і ось чому:

Що робить ufw disable?

Коли ти виконуєш:

ufw disable

відбувається таке:

  1. ufw скидає всі свої iptables-правила.

  2. Всі дозволи/заборони, які були додані через ufw, вилучаються.

  3. Залишається лише "чиста" таблиця iptables (або те, що інші сервіси встигли туди додати після ufw).

Перевірка:

Перед і після виконання ufw disable ти можеш подивитися правила:

iptables -L -n -v

Після ufw disable ланцюги типу ufw-user-input, ufw-before-inputзникнуть.

Якщо ти хочеш залишити правила назавжди:

  1. Не використовуй ufw, а пиши правила напряму в iptables або nftables.

  2. Або експортуй поточні iptables-правила і імпортуй після перезапуску:

# Зберегти
iptables-save > /etc/iptables/rules.v4

# Встановити iptables-persistent (якщо треба)
apt install iptables-persistent

Висновок:

Дія
Результат

ufw disable

Всі правила ufw видаляються з iptables

ufw enable

ufw знову застосовує свої правила

Правила fail2ban

Залишаються (якщо fail2ban ще активний)

Якщо хочеш, я можу показати, як відтворити ufw-аналогічне правило вручну через iptables, без ufw.

покажи на прикладі: спочатку, через ufw я закрив усі порти, потім відкрив порти з tcp для http, https і ssh (2202). Можливо, в майбутньому буду ще використовувати пошту.

Ось готовий Bash-скрипт для налаштування iptables згідно з твоїми вимогами: закрити всі порти, дозволити HTTP, HTTPS, SSH (порт 2202) і з підготовкою до можливого використання поштових сервісів (закоментовано). Коментарі всередині — українською.

#!/bin/bash

# Скрипт очищає існуючі правила та встановлює базовий фаєрвол через iptables
# Протокол: лише TCP
# Дозволяються: loopback, встановлені з'єднання, HTTP, HTTPS, SSH (на порту 2202)
# Поштові порти присутні, але закоментовані

echo "[+] Flushing existing rules..."

# Очищення всіх таблиць і ланцюгів
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
iptables -t nat -X

echo "[+] Setting default policies..."

# За замовчуванням:
iptables -P INPUT DROP     # Блокувати весь вхідний трафік
iptables -P FORWARD DROP   # Блокувати форвардинг
iptables -P OUTPUT ACCEPT  # Дозволити вихідний трафік

echo "[+] Allowing loopback interface..."

# Дозволити локальний трафік (127.0.0.1)
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

echo "[+] Allowing established connections..."

# Дозволити вхідні відповіді на вихідні запити
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

echo "[+] Allowing web ports: HTTP (80), HTTPS (443)..."

# Дозволити HTTP (порт 80)
iptables -A INPUT -p tcp --dport 80 -j ACCEPT

# Дозволити HTTPS (порт 443)
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

echo "[+] Allowing SSH on port 2202..."

# Дозволити SSH на нестандартному порту 2202
iptables -A INPUT -p tcp --dport 2202 -j ACCEPT

# === Поштова частина (поки закоментована) ===
# echo "[+] Preparing for mail service (SMTP, IMAP, POP3)..."

# # SMTP (25)
# iptables -A INPUT -p tcp --dport 25 -j ACCEPT

# # SMTPS (465)
# iptables -A INPUT -p tcp --dport 465 -j ACCEPT

# # Submission (587)
# iptables -A INPUT -p tcp --dport 587 -j ACCEPT

# # IMAP (143)
# iptables -A INPUT -p tcp --dport 143 -j ACCEPT

# # IMAPS (993)
# iptables -A INPUT -p tcp --dport 993 -j ACCEPT

# # POP3 (110)
# iptables -A INPUT -p tcp --dport 110 -j ACCEPT

# # POP3S (995)
# iptables -A INPUT -p tcp --dport 995 -j ACCEPT

echo "[+] Done."

echo "[+] Current iptables rules:"
iptables -L -n -v

✅ Як використовувати:

  1. Збережи у файл, наприклад: setup-firewall.sh

  2. Зроби виконуваним:

    chmod +x setup-firewall.sh

  3. Запусти з правами root:

    ./setup-firewall.sh

Хочеш, я можу додати опцію збереження правил через iptables-persistent, якщо ти плануєш автоматичне завантаження після перезавантаження системи.

інакше ці всі налаштування після перезавантаження перестануть діяти?

Так, без збереження — всі ці налаштування, зроблені через iptables, будуть втрачені після перезавантаження.

iptables за замовчуванням працює лише в оперативній пам’яті. Після рестарту система просто завантажить "чисту" конфігурацію (або ту, що задає ufw, якщо він увімкнений).

🔒 Як зберегти налаштування назавжди:

Варіант 1 — через iptables-persistent (рекомендовано)

  1. Встановити пакет:

    apt install iptables-persistent

  2. Після цього збережи правила:

    netfilter-persistent save

  3. Перевір, що вони завантажуються після перезавантаження:

    systemctl status netfilter-persistent

📁 Правила будуть збережені в:

  • /etc/iptables/rules.v4 (для IPv4)

  • /etc/iptables/rules.v6 (для IPv6, якщо потрібно)

Варіант 2 — вручну через скрипт на старті

Можеш просто вкинути свій setup-firewall.sh у автозавантаження:

cp setup-firewall.sh /etc/network/if-pre-up.d/firewall
chmod +x /etc/network/if-pre-up.d/firewall

Це виконає скрипт щоразу, коли мережа піднімається (перед eth0/enp*).

🔧 Порада:

Якщо в тебе IPv6 увімкнено — не забудь або:

  • закрити його,

  • або налаштувати паралельно ip6tables.

Якщо треба, покажу приклад для IPv6 або rules.v6.

Тобі зручно, якщо я одразу модифікую той скрипт і додам команду збереження правил через netfilter-persistent?

якщо це просто додається в скрипт, то дай лише ці рядки

Звісно. Просто додай оці два рядки в кінець свого скрипта після усіх iptables -A ...:

# Зберегти правила для автоматичного застосування після перезавантаження
netfilter-persistent save

А якщо хочеш переконатися, що сервіс увімкнено:

systemctl enable netfilter-persistent

Примітка: netfilter-persistent зберігає правила в /etc/iptables/rules.v4 автоматично.

Якщо треба — можу дати перевірку на наявність пакету та встановлення його в скрипті, але ці рядки — все, що потрібно для збереження.

де fail2ban зберігає свої налаштування і які опції його опції є найвживаніші?

📂 Де fail2ban зберігає свої налаштування

1. Основний конфіг-файл:

/etc/fail2ban/jail.conf

Не редагуй його напряму! Він може бути перезаписаний при оновленні пакету.

2. Правильний спосіб:

/etc/fail2ban/jail.local

Або, ще краще, окремі файли в:

/etc/fail2ban/jail.d/*.conf

Усі *.local і jail.d/*.conf перевизначають відповідні налаштування з jail.conf.

3. Фільтри (regex, що шукають атаки в логах):

/etc/fail2ban/filter.d/

Там, наприклад, sshd.conf, apache-auth.conf, тощо.

4. Дії (як саме блокувати IP):

/etc/fail2ban/action.d/

Там визначено, як використовувати iptables, ufw, sendmail, route, тощо.

⚙️ Найвживаніші опції в fail2ban

Глобальні параметри (в [DEFAULT]):

Параметр
Значення за замовчуванням
Опис

bantime

600 (10 хв)

Як довго тримати IP в бані (можна задати 1h, 1d, -1 для перманентного)

findtime

600

Проміжок часу (в сек), протягом якого шукаються спроби атаки

maxretry

5

Скільки разів можна помилитися до блокування

backend

auto

Чим читати лог-файли: systemd, polling, auto

usedns

warn

Чи виконувати DNS lookup

ignoreip

127.0.0.1/8 ::1

IP-адреси, які ніколи не банити (додай свій IP тут!)

Для кожного "jail" (наприклад [sshd]):

Параметр
Приклад
Опис

enabled

true

Увімкнути правило

port

ssh або 2202

Порт, який моніторити

filter

sshd

Який фільтр використовувати з /etc/fail2ban/filter.d/

logpath

/var/log/auth.log

Який лог читати

action

iptables-multiport або ufw

Яку дію виконувати для бану

📌 Приклад /etc/fail2ban/jail.local: під SSH на порті 2202

[DEFAULT]
banaction = ipset-multi
bantime = 2w
findtime = 60
maxretry = 5
backend = auto
ignoreip = 127.0.0.1/8 ::1 193.200.85.55

[sshd]
enabled = true
port    = 2202
logpath = %(sshd_log)s
backend = systemd

[apache-aggress]
enabled = true
port = http,https
logpath = /var/log/apache2/*access.log
maxretry = 5
findtime = 2

[apache-wordpress]
enabled = true
port = http,https
logpath = /var/log/apache2/*access.log
maxretry = 1

[dovecot]
enabled  = true
port     = pop3,pop3s,imap,imaps
filter   = dovecot
logpath  = /var/log/mail.log
maxretry = 5
findtime = 600

Хочеш — можу одразу згенерувати jail.local конкретно під твій нестандартний SSH-порт (2202), з оптимальними налаштуваннями.

Ось готовий файл jail.local, налаштований під SSH на порті 2202, з типовими, але вже посиленими параметрами захисту.

📄 /etc/fail2ban/jail.local

[DEFAULT]
# Як довго банити IP (тут: 30 хвилин)
bantime = 30m

# Проміжок часу, протягом якого шукаємо кілька невдалих спроб (10 хв)
findtime = 10m

# Скільки спроб до бану
maxretry = 3

# IP-адреси, які ніколи не банити (додай свій зовнішній IP!)
ignoreip = 127.0.0.1/8 ::1

[sshd]
enabled = true
port = 2202
filter = sshd
logpath = /var/log/auth.log
backend = systemd

📌 Що ще можна зробити після створення jail.local

  1. Перезапусти fail2ban:

    sudo systemctl restart fail2ban

  2. Перевір активність jail:

    sudo fail2ban-client status

  3. Перевір конкретний jail:

    sudo fail2ban-client status sshd

  4. Додай свій IP до ignoreip, щоб не забанити себе.

🔐 Якщо хочеш, я можу показати, як переглядати заблоковані IP або як вручну розблокувати адресу, якщо вона потрапила під бан.

Добре. Ось основні команди для перегляду, розблокування і роботи з IP, які потрапили під бан у fail2ban.

📋 Перевірка статусу

Загальний статус:

fail2ban-client status

Виведе список активних jail (правил). Наприклад:

Status
|- Number of jail:	6
`- Jail list:	apache-aggress, apache-wordpress, dovecot, postfix, recidive, sshd

Статус конкретного jail, наприклад sshd:

fail2ban-client status sshd

Бачиш щось таке:

Status for the jail: sshd
|- Filter
|  |- Currently failed: 1
|  |- Total failed:     6
|  `- File list:        /var/log/auth.log
`- Actions
   |- Currently banned: 1
   |- Total banned:     1
   `- Banned IP list:   192.0.2.123

🚫 Ручне розблокування IP

Розблокувати IP:

fail2ban-client set sshd unbanip 192.0.2.123

Заміни 192.0.2.123 на фактичну IP-адресу.

🚷 Примусово забанити IP вручну

Іноді треба "вручну покарати":

fail2ban-client set sshd banip 203.0.113.55

🔁 Перезавантаження / перевірка конфігурації

Перезапустити fail2ban:

systemctl restart fail2ban

Перевірити, чи конфіг коректний:

fail2ban-client reload

🧩 Корисне: лог-файл fail2ban

Лог можна переглянути тут:

/var/log/fail2ban.log

Приклад:

tail -f /var/log/fail2ban.log

Готова ще й bash-функція, яка покаже заблоковані IP, або зробити просте TUI-меню — дай знати.

Previousfail2ban + ipsetNextnetfilter-persistent

Last updated