Устанавливаем и тестируем баунсеры
Кроме детектирования и наблюдения за угрозами, CrowdSec способен защищать систему, блокируя атаки. Для этого используются баунсеры, причем если CrowdSec отвечает за обнаружение атаки, то баунсер -- за блокировку атакующего.
Чтобы понять, надо блокировать IP либо нет, баунсеры выполняют запрос к API CrowdSec. Готовые баунсеры всегда можно скачать на официальном сайте.
Устанавливаем баунсер
Так как баунсеры общаются с системой посредством REST API, следует проверить, что у установленного баунсера есть возможность выполнять запросы.
Ну а убедиться, что баунсер инсталлирован, вы можете командой cscli bouncers list.
Тестируем баунсер
Проверять работу следует с отдельного IP-адреса. К примеру, это может быть какой-нибудь временный прокси-сервер. Дело в том, что при тестировании с основного адреса система этот адрес забанит, в результате чего доступ к ресурсу будет утерян.
Давайте попробуем получить доступ к серверу в самом конце сканирования:
А теперь глянем, как это будет выглядеть со стороны защиты:
Crowdsec-firewall-bouncer применяет или nftables, или iptables. В первом случае (nftables используется по дефолту в Debian 10), баунсер создает и поддерживает 2 таблицы с именами Crowdsec и Crowdsec6 (они необходимы, соответственно, для ipv4 и ipv6).
В случае надобности всегда можно поменять настройку брандмауэра и осуществить переход на iptables вместо nftables, к которой обращается баунсер в конфигурационном файле /etc/crowdsec/crowdsec-firewall-bouncer/crowdsec-firewall-bouncer.yaml/. При этом чтобы работать в режиме iptables, вам понадобится ipset.
По материалам https://tproger.ru/.
