ufw - это обёртка для iptables, а в новых версиях и nftables
fail2ban - это инструмент который при некотором количестве неверных запросов подряд блокирует пользователя для защиты в первую очередь от подбора паролей
Это абсолютно разные инструменты, НЕ заменяющие друг друга
Но это не мешает им конфликтовать. Я один раз потерял доступ к своей VDS потому что ufw и nftables начили конфликт.
Ufw обычно используют чтобы открывать / закрывать IP, добавлять IP в белые списки, блокировать IP, разрешать порты только для определенных IP и др, но он не может работать в preraw с приоритетом -300, а чтобы он работал надо лезть в его настройки и там писать код по типу моего конфига nftables, и ты уже будешь по факту использовать не ufw, а nftables просто через конфиг ufw. И если правильно настроить nftables он легко заменит ufw, хоть и с небольшой потерией удобства но приростом надежности.
Он может отфильтровать атаки на этапе сканирования портов, но никак не сами атаки. В первую очередь, файрвол это НЕ средство защиты от DDOS
Атаки есть разных типов.
Хоть он и фаервол, но в нём есть очень много функций для фильтрации трафика, а соответственно – смягчению атак. Защита от того же SYN rst tcp udp флуда, bogon сетей, icmp флуда, сломаных пакетов, ограничение по количеству активных сессий, ограничение по размеру пакетов и возможность вносить IP в бансписки на определенное время и дропать все их запросы. И это только малая часть его функционала которую можно ещё по логике гибко выстраивать, в разных цепочках и т.д.
Конечно он не может защищать от забития сетевого канала (к примеру от волумических атак) но с этим справляется провайдер с защитой L3-L4, я писал что мой конфиг надо ставить в связке с защитой L3-L4 провайдера.
Моя цель — не заменить провайдера, а сделать так, чтобы машина не умирала от атаки, которая просочилась через фильтры L3-L4 провайдера или была направлена на логику протокола.
