In dieser Anleitung zeige ich euch, wie ihr eine IP Adresse in CrowdSec whitelisten könnt. Dies bedeutet, dass die IP Adresse nicht blockiert wird, auch wenn “Angriffe” erkannt werden sollten. Mir passiert das häufig, wenn ich neue Anleitungen erstelle.
| Datum | Änderungen |
|---|---|
| 05.04.2023 | Erstellung dieser Anleitung |
| 02.12.2023 | Anpassung an neuere Traefik Anleitung |
1. Grundvoraussetzung
TRAEFIK V2 + 3 – REVERSE-PROXY MIT CROWDSEC IM STACK EINRICHTEN
2. Whitelist erstellen
Dazu öffnet ihr folgende Datei. Den Namen der Datei könnt ihr beliebig anpassen.
nano /opt/containers/traefik-crowdsec-stack/crowdsec/config/parsers/s02-enrich/mywhitelists.yaml
Fügt dort folgendes ein:
name: crowdsecurity/whitelists
description: "Whitelist events from my ip addresses"
whitelist:
reason: "my ip ranges"
ip:
- "80.x.x.x"
Ändert hier nun die IP Adresse entsprechend ab. Anschließend müsst ihr CrowdSec neu starten. Gebt dazu folgendes ein:
docker compose -f /opt/containers/traefik-crowdsec-stack/docker-compose.yml up -d --force-recreate
Nun sollte eure IP Adresse nicht mehr gebannt werden. Wichtig zu wissen ist noch, dass sich eure IP Adresse in der Regel bei eurem DSL Anschluss täglich verändert. Dann wird eure Whitelist ungültig und ihr müsst sie entsprechend für die neue IP anpassen.
3. Kontrollieren
Nun kontrollieren wir, ob die Whitelist genommen wurde. Dazu gebt ihr folgendes ein:
docker exec crowdsec cscli parsers list
Jetzt sollte eure Whitelist in der Ausgabe erscheinen:
PARSERS -------------------------------------------------------------------------------------------------------------------------------------- Name 📦 Status Version Local Path -------------------------------------------------------------------------------------------------------------------------------------- crowdsecurity/cri-logs ✔️ enabled 0.1 /etc/crowdsec/parsers/s00-raw/cri-logs.yaml crowdsecurity/dateparse-enrich ✔️ enabled 0.2 /etc/crowdsec/parsers/s02-enrich/dateparse-enrich.yaml crowdsecurity/docker-logs ✔️ enabled 0.1 /etc/crowdsec/parsers/s00-raw/docker-logs.yaml crowdsecurity/dovecot-logs ✔️ enabled 0.8 /etc/crowdsec/parsers/s01-parse/dovecot-logs.yaml crowdsecurity/geoip-enrich ✔️ enabled 0.2 /etc/crowdsec/parsers/s02-enrich/geoip-enrich.yaml crowdsecurity/http-logs ✔️ enabled 1.2 /etc/crowdsec/parsers/s02-enrich/http-logs.yaml crowdsecurity/nextcloud-whitelist ✔️ enabled 0.7 /etc/crowdsec/parsers/s02-enrich/nextcloud-whitelist.yaml crowdsecurity/nginx-logs ✔️ enabled 1.4 /etc/crowdsec/parsers/s01-parse/nginx-logs.yaml crowdsecurity/postfix-logs ✔️ enabled 0.4 /etc/crowdsec/parsers/s01-parse/postfix-logs.yaml crowdsecurity/postscreen-logs ✔️ enabled 0.2 /etc/crowdsec/parsers/s01-parse/postscreen-logs.yaml crowdsecurity/sshd-logs ⚠️ enabled,update-available 2.0 /etc/crowdsec/parsers/s01-parse/sshd-logs.yaml crowdsecurity/syslog-logs ✔️ enabled 0.8 /etc/crowdsec/parsers/s00-raw/syslog-logs.yaml crowdsecurity/traefik-logs ✔️ enabled 0.9 /etc/crowdsec/parsers/s01-parse/traefik-logs.yaml mywhitelists.yaml 🏠 enabled,local /etc/crowdsec/parsers/s02-enrich/mywhitelists.yaml --------------------------------------------------------------------------------------------------------------------------------------
4. Quelle
https://docs.crowdsec.net/docs/whitelist/create/
Vorerst vielen Dank für die detaillierten Anleitungen. Ich habe ein Cronjob entwickelt um die IP-Adresse in der Whitelist automatisch zu aktualisieren. Dazu sollte in Zeile 4 die URL zur FritzBox bzw. DynDNS eingetragen werden.
#!/bin/bash # URL zum Anpingen url="example.com" # Pfad zur YAML-Datei yaml_file="/opt/containers/traefik-crowdsec-stack/crowdsec/config/parsers/s02-enrich/mywhitelists.yaml" # Pfad zur Docker-Compose-Datei docker_compose_file="/opt/containers/traefik-crowdsec-stack/docker-compose.yml" # Funktion, um die IP-Adresse aus der YAML-Datei zu extrahieren get_ip_from_yaml() { grep -oE "[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+" "$yaml_file" } # Funktion, um die IP-Adresse einer URL zu bekommen get_ip_from_url() { ping_result=$(ping -c 1 "$url") if [[ $ping_result =~ \(([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+)\) ]]; then echo "${BASH_REMATCH[1]}" fi } # IP-Adresse aus der YAML-Datei und von der URL erhalten old_ip=$(get_ip_from_yaml) new_ip=$(get_ip_from_url) # Überprüfen, ob die IP-Adresse sich geändert hat if [ "$old_ip" != "$new_ip" ]; then echo "IP-Adresse hat sich geändert: $old_ip -> $new_ip" # IP-Adresse in YAML-Datei aktualisieren sed -i "s/$old_ip/$new_ip/g" "$yaml_file" echo "IP-Adresse wurde in der YAML-Datei aktualisiert." # Docker-Compose-Befehl ausführen echo "Führe Docker-Compose-Befehl aus..." docker compose -f "$docker_compose_file" up -d --force-recreate if [ $? -eq 0 ]; then echo "Docker-Compose-Befehl wurde erfolgreich ausgeführt." else echo "Fehler beim Ausführen des Docker-Compose-Befehls." fi else echo "IP-Adresse hat sich nicht geändert." fiIst der Pfad noch richtig?
Bei mir kann ich nach obiger Anleitung keine Datei anlegen…
Aber unter diesem Pfad ist wäre es möglich:
/opt/containers/traefik-crowdsec-stack/crowdsec/config/hub/parsers/s02-enrich/crowdsecurity
Ist das bei Euch auch so?
VG Hardy
Gibt es auch eine Lösung, die IP wieder von der Bannliste zu nehmen? Die Anleitung klappt ja nur, wenn man es vorher schon einstellt.
Der Anleitung unter Grundvoraussetzung folgend liegt der Inhalt ja unter /opt/containers/traefik-crowdsec-stack.
Wäre der richtige Ort demzufolge:
/opt/containers/traefik-crowdsec-stack/crowdsec/config/parsers/s02-enrich
?
Hier läge auch schon eine whitelists.yaml. Allerdings als Symlink, der ins nichts führt:
Denn unter /etc/crowdsec habe ich lediglich eine Datei (./bouncers/crowdsec-firewall-bouncer.yaml).
Wie wäre hier nun das korrekte Vorgehen?