In dieser Anleitung zeige ich euch, wie ihr eine IP Adresse in CrowdSec whitelisten könnt. Dies bedeutet, dass die IP Adresse nicht blockiert wird, auch wenn “Angriffe” erkannt werden sollten. Mir passiert das häufig, wenn ich neue Anleitungen erstelle.
Datum | Änderungen |
---|---|
05.04.2023 | Erstellung dieser Anleitung |
02.12.2023 | Anpassung an neuere Traefik Anleitung |
1. Grundvoraussetzung
TRAEFIK V2 + 3 – REVERSE-PROXY MIT CROWDSEC IM STACK EINRICHTEN
2. Whitelist erstellen
Dazu öffnet ihr folgende Datei. Den Namen der Datei könnt ihr beliebig anpassen.
nano /opt/containers/traefik-crowdsec-stack/crowdsec/config/parsers/s02-enrich/mywhitelists.yaml
Fügt dort folgendes ein:
name: crowdsecurity/whitelists description: "Whitelist events from my ip addresses" whitelist: reason: "my ip ranges" ip: - "80.x.x.x"
Ändert hier nun die IP Adresse entsprechend ab. Anschließend müsst ihr CrowdSec neu starten. Gebt dazu folgendes ein:
docker compose -f /opt/containers/traefik-crowdsec-stack/docker-compose.yml up -d --force-recreate
Nun sollte eure IP Adresse nicht mehr gebannt werden. Wichtig zu wissen ist noch, dass sich eure IP Adresse in der Regel bei eurem DSL Anschluss täglich verändert. Dann wird eure Whitelist ungültig und ihr müsst sie entsprechend für die neue IP anpassen.
3. Kontrollieren
Nun kontrollieren wir, ob die Whitelist genommen wurde. Dazu gebt ihr folgendes ein:
docker exec crowdsec cscli parsers list
Jetzt sollte eure Whitelist in der Ausgabe erscheinen:
PARSERS -------------------------------------------------------------------------------------------------------------------------------------- Name 📦 Status Version Local Path -------------------------------------------------------------------------------------------------------------------------------------- crowdsecurity/cri-logs ✔️ enabled 0.1 /etc/crowdsec/parsers/s00-raw/cri-logs.yaml crowdsecurity/dateparse-enrich ✔️ enabled 0.2 /etc/crowdsec/parsers/s02-enrich/dateparse-enrich.yaml crowdsecurity/docker-logs ✔️ enabled 0.1 /etc/crowdsec/parsers/s00-raw/docker-logs.yaml crowdsecurity/dovecot-logs ✔️ enabled 0.8 /etc/crowdsec/parsers/s01-parse/dovecot-logs.yaml crowdsecurity/geoip-enrich ✔️ enabled 0.2 /etc/crowdsec/parsers/s02-enrich/geoip-enrich.yaml crowdsecurity/http-logs ✔️ enabled 1.2 /etc/crowdsec/parsers/s02-enrich/http-logs.yaml crowdsecurity/nextcloud-whitelist ✔️ enabled 0.7 /etc/crowdsec/parsers/s02-enrich/nextcloud-whitelist.yaml crowdsecurity/nginx-logs ✔️ enabled 1.4 /etc/crowdsec/parsers/s01-parse/nginx-logs.yaml crowdsecurity/postfix-logs ✔️ enabled 0.4 /etc/crowdsec/parsers/s01-parse/postfix-logs.yaml crowdsecurity/postscreen-logs ✔️ enabled 0.2 /etc/crowdsec/parsers/s01-parse/postscreen-logs.yaml crowdsecurity/sshd-logs ⚠️ enabled,update-available 2.0 /etc/crowdsec/parsers/s01-parse/sshd-logs.yaml crowdsecurity/syslog-logs ✔️ enabled 0.8 /etc/crowdsec/parsers/s00-raw/syslog-logs.yaml crowdsecurity/traefik-logs ✔️ enabled 0.9 /etc/crowdsec/parsers/s01-parse/traefik-logs.yaml mywhitelists.yaml 🏠 enabled,local /etc/crowdsec/parsers/s02-enrich/mywhitelists.yaml --------------------------------------------------------------------------------------------------------------------------------------
4. Quelle
https://docs.crowdsec.net/docs/whitelist/create/
Vorerst vielen Dank für die detaillierten Anleitungen. Ich habe ein Cronjob entwickelt um die IP-Adresse in der Whitelist automatisch zu aktualisieren. Dazu sollte in Zeile 4 die URL zur FritzBox bzw. DynDNS eingetragen werden.
Ist der Pfad noch richtig?
Bei mir kann ich nach obiger Anleitung keine Datei anlegen…
Aber unter diesem Pfad ist wäre es möglich:
/opt/containers/traefik-crowdsec-stack/crowdsec/config/hub/parsers/s02-enrich/crowdsecurity
Ist das bei Euch auch so?
VG Hardy
Gibt es auch eine Lösung, die IP wieder von der Bannliste zu nehmen? Die Anleitung klappt ja nur, wenn man es vorher schon einstellt.
Der Anleitung unter Grundvoraussetzung folgend liegt der Inhalt ja unter /opt/containers/traefik-crowdsec-stack.
Wäre der richtige Ort demzufolge:
/opt/containers/traefik-crowdsec-stack/crowdsec/config/parsers/s02-enrich
?
Hier läge auch schon eine whitelists.yaml. Allerdings als Symlink, der ins nichts führt:
Denn unter /etc/crowdsec habe ich lediglich eine Datei (./bouncers/crowdsec-firewall-bouncer.yaml).
Wie wäre hier nun das korrekte Vorgehen?