Проблема с Fail2ban и UFW

[Resha]

Поднял сервер на Ubuntu, настроил фаервол и решил подключить Fail2ban. При тестировании мой IP не банился по SSH. После долгих часов мучений я переустановил сервер, вернув его к заводским настройкам, и настроил Fail2ban без фаервола — он работал прекрасно. Подскажите, в чём может быть проблема?

У меня такое ощущение, что UFW — это как зонт, а я, стоя под ним, пытаюсь наполнить стакан под названием Fail2ban.

[ALiEN]

UFW — это как зонт, а я, стоя под ним, пытаюсь наполнить стакан под названием Fail2ban.

Красивое сравнение =)
Чтобы Fail2ban работал, нужно чтобы ip попадали в логи.
 
У себя я просто перевесил ssh на нестандартный порт и дополнительно создал правило в iptables с DROP для "плохих" IP. Список плохишей беру отсюда https://github.com/borestad/blocklist-abuseipdb (лично у меня с вероятностью 99% всё, что наловил fail2ban уже было в этих списках). 
Простым скриптиком таймер systemd обновляет его раз в неделю. И тишина в логах)

(Нажмите, чтобы показать/скрыть)

B iptables (ipset должен быть включен)

Код: [Выделить]

-A INPUT -m set --match-set bad-ip src -j DROPСкрипт

Код: [Выделить]

#!/bin/bash

URL="https://github.com/borestad/blocklist-abuseipdb/raw/main/abuseipdb-s100-7d.ipv4"

if ipset -L -t | grep -q bad-ip; then
  echo "bad-ip exist"
    else
  echo "Create bad-ip table"
  ipset create bad-ip hash:ip maxelem 1048576
fi

echo "Download ip list..."
curl "$URL" -sfL --connect-timeout 4 |
     grep -Eo '^([0-9]{1,3}\.){3}[0-9]{1,3}' > /tmp/badass.txt

[ -s /tmp/badass.txt ] || {
  echo "Dowhload error!" 1>&2
  exit 7
}

ipset create tmp-ip hash:ip maxelem 1048576

echo "Update bad ip list..."

ipset restore < <(sed "s/.*/add tmp-ip &/g" /tmp/badass.txt)

echo "Apply new configuration..."

ipset swap tmp-ip bad-ip
ipset destroy tmp-ip

ipset list -t

echo "Save configuration..."
ipset -o save save > /etc/ipset.conf

echo "Done."

rm /tmp/badass.txt


[Resha]

Красивое сравнение =)

Спасибо!
Скажите, а есть руководство, как проще настроить систему блокировки? Ваш вариант я обязательно сохраню, но в связи с небольшими знаниями в использовании Linux (пока) я бы рассмотрел более простой временный вариант.
Не гнобите меня, но попытка установки ipset с помощью GPT не увенчалась успехом.  :'(

[ALiEN]

как проще настроить систему блокировки?

Лично для меня мой вариант самый простой =)

попытка установки ipset с помощью GPT не увенчалась успехом.

Забыл. У вас скорее всего используется nft, а не iptables.
C nft я не знаком, увы - ничего подсказать не смогу.

[Resha]

Забыл. У вас скорее всего используется nft, а не iptables.

Разве он на Ubuntu не идет?
Все равно спасибо за помощь !

[ALiEN]

Разве он на Ubuntu не идет?

Вроде с версии 21.10 по-умолчанию используется nft.

[Skif_off]

ALiEN, а списки, подобные blocklist-abuseipdb только пополняются, ревизию и удаление неактуальных IP не проводят?

[ALiEN]

Skif_off, из моей ссылки удаляются.
Выдержка из логов за месяц:

Код: [Выделить]

Number of entries: 96720
Number of entries: 84311
Number of entries: 67403
Number of entries: 95003Пользователь добавил сообщение 18 Февраля 2025, 02:36:48:Ах да, если используете TOR этот вариант не подойдёт.
Обычно в таких списках всегда есть выходные ноды тора.