fail2ban: ufw - NO, iptables - YES

https://zomro.com/rus/blog/faq/365-how-to-install-and-configure-fail2ban-in-ubuntu-2004

Хочеш, поясню як UFW взаємодіє з fail2ban, або якісь конкретні приклади для веб-серверів?

На Ubuntu Server 24.04 рекомендовано дозволити fail2ban працювати напряму з iptables, а не через ufw. Ось чому:

❗ Причини обрати iptables напряму:

  1. Надійність:

    • fail2ban працює через iptables без посередників, що забезпечує прямий, швидкий і контрольований доступ до блокування IP-адрес.

    • Робота через ufw технічно можлива, але це додає проміжний шар, що може призвести до конфліктів, особливо при складних правилах або власних ufw-профілях.

  2. Гнучкість:

    • Через iptables ти можеш детальніше налаштовувати ланцюжки (chains) і вести роздільну статистику по fail2ban.

    • ufw не дає повного доступу до низькорівневих деталей iptables, тому деякі функції fail2ban можуть працювати менш ефективно.

  3. Офіційна документація fail2ban за замовчуванням передбачає використання iptables.

Як воно працює з iptables:

  • При спрацюванні фільтру fail2ban додає DROP/REJECT правила до спеціального ланцюга f2b-* в iptables.

  • Ці правила автоматично видаляються після закінчення bantime.

А що з ufw?

ufw сам по собі — фронтенд до iptables, тож теоретично можна створити jail типу ufw, який викликає ufw deny для IP. Але:

  • Це повільніше, бо ufw щоразу перевизначає весь набір правил.

  • Іноді після перезавантаження ufw — блокування від fail2ban втрачаються.

  • Не всі дистрибутиви підтримують action = ufw стабільно.

Підсумок:

Метод
Рекомендовано?
Причина

iptables напряму

✅ Так

Швидше, стабільніше, офіційно підтримується

через ufw

⚠ Не рекомендовано

Повільніше, можуть бути конфлікти

Чи правильно я зрозумів? Якщо fail2ban щось запише у iptables, а я потім, через ufw відкрию якійсь порт, то це може скинути попередні налаштування в iptables від fail2ban?

Так, ти правильно зрозумів. І ось детальніше пояснення:

❗ Потенційна проблема: ufw перезаписує правила iptables

Коли ти виконуєш команду ufw enable, ufw reload або змінюєш правила (наприклад, ufw allow 80), ufw перегенеровує всю свою таблицю iptables. Внаслідок цього:

  • Правила, які fail2ban записав у iptables, можуть бути втрачені (видалені).

  • Це особливо стосується, якщо fail2ban додав правила після ufw enable, а ти потім змінив ufw.

Чому так відбувається?

ufw не знає про правила, які створили інші сервіси (fail2ban, Docker, iptables вручну). Він просто:

  • Скидає всі наявні правила.

  • Встановлює ті, що описані у своїй конфігурації (/lib/ufw/user.rules, /etc/ufw/ тощо).

fail2ban, у свою чергу, динамічно додає свої правила після запуску, і їх там нема — тож ufw їх не відновить.

Як уникнути цієї проблеми:

  1. Не використовуй ufw, якщо активно користуєшся fail2ban — краще писати правила напряму через iptables або скриптами.

  2. АБО запускай fail2ban після ufw, і більше не чіпай ufw (не викликай ufw reload, ufw allow, тощо).

  3. Якщо дуже хочеш використовувати ufw, то:

    • Додай fail2ban до systemd після ufw:

      І встав:

Альтернатива:

  • Налаштуй iptables напряму (або nftables, якщо сучасніший підхід).

  • А ufw взагалі відключи:

якщо я відключу ufw, то правила, які ввів через нього в iptables все одно будуть діяти?

Ні, правила, які ти додав через ufw, перестануть діяти після ufw disable, і ось чому:

Що робить ufw disable?

Коли ти виконуєш:

відбувається таке:

  1. ufw скидає всі свої iptables-правила.

  2. Всі дозволи/заборони, які були додані через ufw, вилучаються.

  3. Залишається лише "чиста" таблиця iptables (або те, що інші сервіси встигли туди додати після ufw).

Перевірка:

Перед і після виконання ufw disable ти можеш подивитися правила:

Після ufw disable ланцюги типу ufw-user-input, ufw-before-inputзникнуть.

Якщо ти хочеш залишити правила назавжди:

  1. Не використовуй ufw, а пиши правила напряму в iptables або nftables.

  2. Або експортуй поточні iptables-правила і імпортуй після перезапуску:

Висновок:

Дія
Результат

ufw disable

Всі правила ufw видаляються з iptables

ufw enable

ufw знову застосовує свої правила

Правила fail2ban

Залишаються (якщо fail2ban ще активний)

Якщо хочеш, я можу показати, як відтворити ufw-аналогічне правило вручну через iptables, без ufw.

покажи на прикладі: спочатку, через ufw я закрив усі порти, потім відкрив порти з tcp для http, https і ssh (2202). Можливо, в майбутньому буду ще використовувати пошту.

Ось готовий Bash-скрипт для налаштування iptables згідно з твоїми вимогами: закрити всі порти, дозволити HTTP, HTTPS, SSH (порт 2202) і з підготовкою до можливого використання поштових сервісів (закоментовано). Коментарі всередині — українською.

✅ Як використовувати:

  1. Збережи у файл, наприклад: setup-firewall.sh

  2. Зроби виконуваним:

  3. Запусти з правами root:

Хочеш, я можу додати опцію збереження правил через iptables-persistent, якщо ти плануєш автоматичне завантаження після перезавантаження системи.

інакше ці всі налаштування після перезавантаження перестануть діяти?

Так, без збереження — всі ці налаштування, зроблені через iptables, будуть втрачені після перезавантаження.

iptables за замовчуванням працює лише в оперативній пам’яті. Після рестарту система просто завантажить "чисту" конфігурацію (або ту, що задає ufw, якщо він увімкнений).

🔒 Як зберегти налаштування назавжди:

Варіант 1 — через iptables-persistent (рекомендовано)

  1. Встановити пакет:

  2. Після цього збережи правила:

  3. Перевір, що вони завантажуються після перезавантаження:

📁 Правила будуть збережені в:

  • /etc/iptables/rules.v4 (для IPv4)

  • /etc/iptables/rules.v6 (для IPv6, якщо потрібно)

Варіант 2 — вручну через скрипт на старті

Можеш просто вкинути свій setup-firewall.sh у автозавантаження:

Це виконає скрипт щоразу, коли мережа піднімається (перед eth0/enp*).

🔧 Порада:

Якщо в тебе IPv6 увімкнено — не забудь або:

  • закрити його,

  • або налаштувати паралельно ip6tables.

Якщо треба, покажу приклад для IPv6 або rules.v6.

Тобі зручно, якщо я одразу модифікую той скрипт і додам команду збереження правил через netfilter-persistent?

якщо це просто додається в скрипт, то дай лише ці рядки

Звісно. Просто додай оці два рядки в кінець свого скрипта після усіх iptables -A ...:

А якщо хочеш переконатися, що сервіс увімкнено:

Примітка: netfilter-persistent зберігає правила в /etc/iptables/rules.v4 автоматично.

Якщо треба — можу дати перевірку на наявність пакету та встановлення його в скрипті, але ці рядки — все, що потрібно для збереження.

де fail2ban зберігає свої налаштування і які опції його опції є найвживаніші?

📂 Де fail2ban зберігає свої налаштування

1. Основний конфіг-файл:

Не редагуй його напряму! Він може бути перезаписаний при оновленні пакету.

2. Правильний спосіб:

Або, ще краще, окремі файли в:

Усі *.local і jail.d/*.conf перевизначають відповідні налаштування з jail.conf.

3. Фільтри (regex, що шукають атаки в логах):

Там, наприклад, sshd.conf, apache-auth.conf, тощо.

4. Дії (як саме блокувати IP):

Там визначено, як використовувати iptables, ufw, sendmail, route, тощо.

⚙️ Найвживаніші опції в fail2ban

Глобальні параметри (в [DEFAULT]):

Параметр
Значення за замовчуванням
Опис

bantime

600 (10 хв)

Як довго тримати IP в бані (можна задати 1h, 1d, -1 для перманентного)

findtime

600

Проміжок часу (в сек), протягом якого шукаються спроби атаки

maxretry

5

Скільки разів можна помилитися до блокування

backend

auto

Чим читати лог-файли: systemd, polling, auto

usedns

warn

Чи виконувати DNS lookup

ignoreip

127.0.0.1/8 ::1

IP-адреси, які ніколи не банити (додай свій IP тут!)

Для кожного "jail" (наприклад [sshd]):

Параметр
Приклад
Опис

enabled

true

Увімкнути правило

port

ssh або 2202

Порт, який моніторити

filter

sshd

Який фільтр використовувати з /etc/fail2ban/filter.d/

logpath

/var/log/auth.log

Який лог читати

action

iptables-multiport або ufw

Яку дію виконувати для бану

📌 Приклад /etc/fail2ban/jail.local: під SSH на порті 2202

Хочеш — можу одразу згенерувати jail.local конкретно під твій нестандартний SSH-порт (2202), з оптимальними налаштуваннями.

Ось готовий файл jail.local, налаштований під SSH на порті 2202, з типовими, але вже посиленими параметрами захисту.

📄 /etc/fail2ban/jail.local

📌 Що ще можна зробити після створення jail.local

  1. Перезапусти fail2ban:

  2. Перевір активність jail:

  3. Перевір конкретний jail:

  4. Додай свій IP до ignoreip, щоб не забанити себе.

🔐 Якщо хочеш, я можу показати, як переглядати заблоковані IP або як вручну розблокувати адресу, якщо вона потрапила під бан.

Добре. Ось основні команди для перегляду, розблокування і роботи з IP, які потрапили під бан у fail2ban.

📋 Перевірка статусу

Загальний статус:

Виведе список активних jail (правил). Наприклад:

Статус конкретного jail, наприклад sshd:

Бачиш щось таке:

🚫 Ручне розблокування IP

Розблокувати IP:

Заміни 192.0.2.123 на фактичну IP-адресу.

🚷 Примусово забанити IP вручну

Іноді треба "вручну покарати":

🔁 Перезавантаження / перевірка конфігурації

Перезапустити fail2ban:

Перевірити, чи конфіг коректний:

🧩 Корисне: лог-файл fail2ban

Лог можна переглянути тут:

Приклад:

Готова ще й bash-функція, яка покаже заблоковані IP, або зробити просте TUI-меню — дай знати.

Previousfail2ban + ipsetNextnetfilter-persistent

Last updated