====== Fail2Ban ======

Встановимо fail2ban
  apt install fail2ban -y

Збережемо оригінальні налашування (на всякий випадок)

  cp -a /etc/fail2ban/ /etc/fail2ban.orig/

Створимо копію основного файлу конфігурації для модифікування

  cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
  nano /etc/fail2ban/jail.local

Підправимо його для роботи з nftables

<code bash>
[DEFAULT]
# Destination email for action that send you an email
destemail = fail2ban@mydomain.example

# Sender email. Warning: not all actions take this into account. Make sure to test if you rely on this
sender    = fail2ban@mydomain.example

# Specify chain where jumps would need to be added in ban-actions expecting parameter chain
chain     = input

# configure nftables
banaction = nftables-multiport
banaction_allports = nftables-allports

# Default action. Will block user and send you an email with whois content and log lines.
## action    = %(action_mwl)s
action    = %(action_)s
</code>

  systemctl enable fail2ban
  fail2ban-client reload
  fail2ban-client status

Створюємо файл конфігурації fail2ban для файрвола
  mkdir -p /etc/nftables/
  nano /etc/nftables/fail2ban.conf

<code bash>
#!/usr/sbin/nft -f

# Use ip as fail2ban doesn't support ipv6 yet
table inet fail2ban {
        chain input {
                # Assign a high priority to reject as fast as possible and avoid more complex rule evaluation
                type filter hook input priority 100;
        }
}
</code>

Додамо створений файл в оновну конфігурацію файрвола
  echo "include \"/etc/nftables/fail2ban.conf\"" >> /etc/nftables.conf

Також підвантажимо його в роботу
  nft -f /etc/nftables/fail2ban.conf

===== Налаштування Fail2Ban для запуску/зупинки за допомогою nftables =====

Ми намагаємося досягти наступного:
  * під час завантаження сервер запускає спочатку nftables.service, а потім fail2ban.service;
  * якщо ми запускаємо nftables.service, він також повинен запускати fail2ban.service;
  * якщо ми зупинимо nftables.service, він також має зупинити fail2ban.service;
  * якщо ми перезапустимо nftables.service, він також має перезапустити fail2ban.service;
  * якщо ми запускаємо fail2ban.service, він також повинен запускати nftables.service;
  * зупинка та перезапуск дій на fail2ban.service не повинні впливати на nftables.service.

Ми можемо зробити все це, створивши файл перевизначення для fail2ban, вказавши йому, що він залежить від nftables, а потім nftables хоче, щоб він запустився:

  mkdir -p /etc/systemd/system/fail2ban.service.d/
  nano /etc/systemd/system/fail2ban.service.d/override.conf

  [Unit]
  Requires=nftables.service
  PartOf=nftables.service
  
  [Install]
  WantedBy=multi-user.target nftables.service

Оскільки ми змінили розділ [Install], нам потрібно повторно ввімкнути відповідну службу, щоб створити відповідні символічні посилання. Ми також переконаємося, що nftables спочатку встановлено як сервісний блок:
  # systemctl enable nftables.service 
  Created symlink /etc/systemd/system/sysinit.target.wants/nftables.service → /lib/systemd/system/nftables.service.
  # systemctl enable fail2ban.service
  Created symlink /etc/systemd/system/nftables.service.wants/fail2ban.service → /lib/systemd/system/fail2ban.service.
  # systemctl daemon-reload

==== Як саме це працює? ====

У нашому файлі заміни або повному файлі конфігурації (див. нижче) ми включаємо такі параметри:

<code bash>
[Unit]
Requires=nftables.service "запуск цієї служби спочатку запустить nftables.service."
PartOf=nftables.service "змушує цю службу зупинятися або перезапускатися (але не запускатися) за допомогою nftables.service."

[Install]
WantedBy=multi-user.target nftables.service "змушує цю службу запускатися, коли запускається будь-яка з перелічених служб."
</code>
Як бачите, нам потрібно встановити Requires, PartOf і WantedBy, щоб отримати бажану поведінку.

===== Блокувальники =====

Після додавання або видалення блокувальниуів необхідно перезавантажити fail2ban

  fail2ban-client reload

Також можна переглянути статус fail2ban

  fail2ban-client status 

==== Рецедив ====

Повторно блокує по всіх портах іп адреси які раніше вже блокувались по іншим блокувальникам

  nano /etc/fail2ban/jail.d/recidive.local

<code bash>
# Jail for more extended banning of persistent abusers
# !!! WARNINGS !!!
# 1. Make sure that your loglevel specified in fail2ban.conf/.local
#    is not at DEBUG level -- which might then cause fail2ban to fall into
#    an infinite loop constantly feeding itself with non-informative lines
# 2. If you increase bantime, you must increase value of dbpurgeage
#    to maintain entries for failed logins for sufficient amount of time.
#    The default is defined in fail2ban.conf and you can override it in fail2ban.local
#
# Manages the fail2ban history for hosts repeatedly banned by Fail2Ban and bans them
# according to the settings defined
#

[recidive]
enabled   = true
logpath   = /var/log/fail2ban.log
banaction = nftables-allports
backend   = systemd
bantime   = 9w
findtime  = 3d
maxretry  = 3
protocol  = 0-255
</code>

==== SSH ====

Вмикаємо блокувальник ssh. Оскільки всі значення стандартні то файл простий

  nano /etc/fail2ban/jail.d/sshd.local

<code bash>
[sshd]
enabled   = true
</code>