possíveis conflitos do ufw e do fail2ban

38

A execução do fail2ban e do ufw causará problemas? Notei que o fail2ban modifica as regras do iptables, mas o ufw já tem uma tonelada de regras do iptables definidas ... então não tenho certeza se o fail2ban vai atrapalhar essas regras.

    
por Adam Monsen 27.07.2011 / 23:16

3 respostas

45

Você pode usar o ufw e o fail2b juntos, mas, como indicado anteriormente, a ordem das regras (ufw) é o que é importante.

Fora da caixa, o fail2ban usa o iptables e insere regras primeiro na cadeia INPUT. Isso não causará nenhum dano ou conflito com a ufw.

Se você deseja integrar totalmente o fail2ban para usar o ufw (em vez do iptables). Você precisará editar vários arquivos, incluindo

/etc/fail2ban/jail.local

jail.local é onde você define seus serviços, incluindo em qual porta eles estão ouvindo (pense em alterar o ssh para uma porta não padrão) e qual ação tomar.

** Por favor, note *: Nunca edite jail.conf , suas alterações devem ser feitas em jail.local ! Esse arquivo começa com isto:

# Changes:  in most of the cases you should not modify this
#           file, but provide customizations in jail.local file,
#           or separate .conf files under jail.d/ directory

Usando o ssh como exemplo, observe também a definição de uma porta não padrão =)

[ssh]
enabled = true
banaction = ufw-ssh
port = 2992
filter = sshd
logpath = /var/log/auth.log
maxretry = 3

Você configura o fail2ban para usar o ufw in (um arquivo .conf para cada serviço)

/etc/fail2ban/action.d/ufw-ssh.conf

A sintaxe é

[Definition]
actionstart =
actionstop =
actioncheck =
actionban = ufw insert 1 deny from <ip> to any app OpenSSH
actionunban = ufw delete deny from <ip> to any app OpenSSH

Observação: configure o fail2ban para usar o ufw e inserir novas regras FIRST usando a sintaxe "insert 1". A exclusão encontrará a regra, independentemente da ordem.

Há uma boa postagem no blog que entra em mais detalhes aqui

link

[EDIT] Para o Ubuntu 16.04+

por padrão, um " defaults-debian.conf " em /etc/fail2ban/jail.d com conteúdo

[sshd]
enabled = true

ativará a proteção ssh do fail2ban.

Você precisa colocá-lo em falso.

Em seguida, crie um jail.local como você faria em geral, o meu seria assim:

[ssh-with-ufw] 
enabled = true 
port = 22 
filter = sshd 
action = ufw[application="OpenSSH", blocktype=reject] 
logpath = /var/log/auth.log 
maxretry = 3

Já existe um ufw.conf na instalação padrão do fail2ban, portanto não é necessário criá-lo.

A única mudança específica para você jail.local seria na linha de ação, onde você precisa colocar o aplicativo em questão para a proteção e o que você deseja obter como resultado.

ufw tendem a detectar automaticamente uma certa quantidade de aplicativos em execução usando a rede. Para ter a lista, basta digitar sudo ufw app list . É sensível a maiúsculas e minúsculas.

recarregue o fail2ban e você não verá mais a cadeia fail2ban e, se algum IP obtiver um bloqueio, você o verá em sudo ufw status

    
por Panther 05.12.2011 / 22:09
5

Tenho usado o fail2ban e o ufw há anos em alguns computadores diferentes e nunca tive problemas. Para configurar o fail2ban:

sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
sudo nano jail.local

Agora edite o arquivo como desejar, por exemplo, se você quiser bloquear ssh não autorizado, encontre as linhas:

[ssh]
enabled  = true
port     = ssh
filter   = sshd
logpath  = /var/log/auth.log
maxretry = 6

se "ativado" estiver definido como "falso", altere-o para "verdadeiro", conforme indicado aqui. Depois de definir as regras, você precisa reiniciar o processo do fail2ban:

sudo /etc/init.d/fail2ban restart

Se você abriu a porta 22 em seu firewall ufw, o fail2ban banirá os clientes que tentarem conectar-se mais de 6 vezes sem sucesso, isso não afetará seu firewall.

    
por enedene 05.12.2011 / 22:33
2

A instalação do 0.9.5 do fail2ban incluiu uma ação ufw que eu simplesmente precisei definir para banaction

    
por Carson Reinke 26.12.2016 / 17:55