https://wiki.ixheim.de/index.php?action=history&feed=atom&title=CrowdSec_HAProxy_Bouncer 2026-06-17T13:30:44Z Versionsgeschichte dieser Seite in Xinux Wiki MediaWiki 1.35.1 https://wiki.ixheim.de/index.php?title=CrowdSec_HAProxy_Bouncer&diff=70371&oldid=prev 2026-05-23T13:35:25Z

<p></p> <table class="diff diff-contentalign-left diff-editfont-monospace" data-mw="interface"> <col class="diff-marker" /> <col class="diff-content" /> <col class="diff-marker" /> <col class="diff-content" /> <tr class="diff-title" lang="de"> <td colspan="2" style="background-color: #fff; color: #202122; text-align: center;">← Nächstältere Version</td> <td colspan="2" style="background-color: #fff; color: #202122; text-align: center;">Version vom 23. Mai 2026, 13:35 Uhr</td> </tr><tr><td colspan="2" class="diff-lineno" id="mw-diff-left-l1" >Zeile 1:</td> <td colspan="2" class="diff-lineno">Zeile 1:</td></tr> <tr><td colspan="2"> </td><td class='diff-marker'>+</td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins style="font-weight: bold; text-decoration: none;">===Was ist das?===</ins></div></td></tr> <tr><td class='diff-marker'> </td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><div>CrowdSec läuft als IDS/IPS und kommuniziert über den SPOE-Mechanismus direkt mit HAProxy. Blockentscheidungen werden auf Proxy-Ebene getroffen, bevor der Request das Backend erreicht.</div></td><td class='diff-marker'> </td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><div>CrowdSec läuft als IDS/IPS und kommuniziert über den SPOE-Mechanismus direkt mit HAProxy. Blockentscheidungen werden auf Proxy-Ebene getroffen, bevor der Request das Backend erreicht.</div></td></tr> <tr><td class='diff-marker'> </td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"></td><td class='diff-marker'> </td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"></td></tr> <!-- diff cache key my_wiki:diff::1.12:old-70370:rev-70371 --> </table>

Thomas.will https://wiki.ixheim.de/index.php?title=CrowdSec_HAProxy_Bouncer&diff=70370&oldid=prev 2026-05-23T13:34:58Z

<p>Die Seite wurde neu angelegt: „CrowdSec läuft als IDS/IPS und kommuniziert über den SPOE-Mechanismus direkt mit HAProxy. Blockentscheidungen werden auf Proxy-Ebene getroffen, bevor der Req…“</p> <p><b>Neue Seite</b></p><div>CrowdSec läuft als IDS/IPS und kommuniziert über den SPOE-Mechanismus direkt mit HAProxy. Blockentscheidungen werden auf Proxy-Ebene getroffen, bevor der Request das Backend erreicht.<br /> <br /> ;Voraussetzung: CrowdSec ist installiert und läuft (siehe [[CrowdSec]])<br /> <br /> ===Installation===<br /> <br /> *apt install crowdsec-haproxy-bouncer<br /> <br /> ===SPOE-Konfiguration===<br /> <br /> Der Bouncer legt automatisch eine SPOE-Konfigurationsdatei an:<br /> <br /> /etc/haproxy/spoe-crowdsec.conf<br /> <br /> Inhalt prüfen:<br /> <br /> *cat /etc/haproxy/spoe-crowdsec.conf<br /> <br /> &lt;syntaxhighlight lang=&quot;text&quot;&gt;<br /> [config]<br /> spoe-agent crowdsec<br /> messages check-client-ip<br /> option var-prefix crowdsec<br /> timeout hello 100ms<br /> timeout idle 30s<br /> timeout processing 50ms<br /> use-backend crowdsec_backend<br /> <br /> spoe-message check-client-ip<br /> args src<br /> event on-client-session<br /> &lt;/syntaxhighlight&gt;<br /> <br /> ===HAProxy Konfiguration erweitern===<br /> <br /> *nano /etc/haproxy/haproxy.cfg<br /> <br /> Im &lt;code&gt;global&lt;/code&gt;-Block ergänzen:<br /> <br /> &lt;syntaxhighlight lang=&quot;text&quot;&gt;<br /> global<br /> # ... bestehende Einträge ...<br /> lua-prepend-path /usr/lib/crowdsec/lua/haproxy/?.lua<br /> lua-load /usr/lib/crowdsec/lua/haproxy/crowdsec.lua<br /> setenv CROWDSEC_API_KEY &lt;DEIN_BOUNCER_KEY&gt;<br /> setenv CROWDSEC_API_URL http://127.0.0.1:8080<br /> &lt;/syntaxhighlight&gt;<br /> <br /> Im &lt;code&gt;frontend ft_https&lt;/code&gt; ergänzen:<br /> <br /> &lt;syntaxhighlight lang=&quot;text&quot;&gt;<br /> frontend ft_https<br /> # ... bestehende Einträge ...<br /> filter spoe engine crowdsec config /etc/haproxy/spoe-crowdsec.conf<br /> http-request lua.crowdsec_allow<br /> http-request deny deny_status 403 if { var(txn.crowdsec.action) -m str &quot;ban&quot; }<br /> &lt;/syntaxhighlight&gt;<br /> <br /> Backend für den CrowdSec-Agent hinzufügen:<br /> <br /> &lt;syntaxhighlight lang=&quot;text&quot;&gt;<br /> backend crowdsec_backend<br /> server crowdsec 127.0.0.1:7422<br /> &lt;/syntaxhighlight&gt;<br /> <br /> ===Bouncer-Key generieren===<br /> <br /> *cscli bouncers add haproxy-bouncer<br /> <br /> Den ausgegebenen Key in die HAProxy-Konfiguration unter &lt;code&gt;CROWDSEC_API_KEY&lt;/code&gt; eintragen.<br /> <br /> ===Konfiguration testen und neu laden===<br /> <br /> *haproxy -c -f /etc/haproxy/haproxy.cfg<br /> *systemctl reload haproxy<br /> <br /> ===Test===<br /> <br /> CrowdSec-Entscheidungen anzeigen:<br /> <br /> *cscli decisions list<br /> <br /> Eine Test-IP manuell bannen:<br /> <br /> *cscli decisions add --ip 10.88.2XX.99 --duration 5m --reason &quot;Test&quot;<br /> <br /> Vom gebannten Client aus sollte ein HTTP 403 zurückkommen. Ban wieder entfernen:<br /> <br /> *cscli decisions delete --ip 10.88.2XX.99<br /> <br /> Logs beobachten:<br /> <br /> *journalctl -fu haproxy<br /> *journalctl -fu crowdsec<br /> <br /> ----</div>

Thomas.will