Устанавливаем и тестируем баунсеры

Кроме детектирования и наблюдения за угрозами, CrowdSec способен защищать систему, блокируя атаки. Для этого используются баунсеры, причем если CrowdSec отвечает за обнаружение атаки, то баунсер -- за блокировку атакующего.

Чтобы понять, надо блокировать IP либо нет, баунсеры выполняют запрос к API CrowdSec. Готовые баунсеры всегда можно скачать на официальном сайте.

Устанавливаем баунсер

Так как баунсеры общаются с системой посредством REST API, следует проверить, что у установленного баунсера есть возможность выполнять запросы.

Ну а убедиться, что баунсер инсталлирован, вы можете командой cscli bouncers list.

Тестируем баунсер

Проверять работу следует с отдельного IP-адреса. К примеру, это может быть какой-нибудь временный прокси-сервер. Дело в том, что при тестировании с основного адреса система этот адрес забанит, в результате чего доступ к ресурсу будет утерян.

Давайте попробуем получить доступ к серверу в самом конце сканирования:

А теперь глянем, как это будет выглядеть со стороны защиты:

Crowdsec-firewall-bouncer применяет или nftables, или iptables. В первом случае (nftables используется по дефолту в Debian 10), баунсер создает и поддерживает 2 таблицы с именами Crowdsec и Crowdsec6 (они необходимы, соответственно, для ipv4 и ipv6).

В случае надобности всегда можно поменять настройку брандмауэра и осуществить переход на iptables вместо nftables, к которой обращается баунсер в конфигурационном файле /etc/crowdsec/crowdsec-firewall-bouncer/crowdsec-firewall-bouncer.yaml/. При этом чтобы работать в режиме iptables, вам понадобится ipset.

По материалам https://tproger.ru/.