Crowdsec Traefik Bouncer: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| Zeile 22: | Zeile 22: | ||
→ Den API-Key kopieren | → Den API-Key kopieren | ||
| − | |||
| − | |||
| − | |||
==Go-Plugin in Traefik integrieren== | ==Go-Plugin in Traefik integrieren== | ||
| Zeile 45: | Zeile 42: | ||
moduleName: "/mnt/docker/traefik/plugins/crowdsec/plugin.so" | moduleName: "/mnt/docker/traefik/plugins/crowdsec/plugin.so" | ||
version: "v1.4.2" | version: "v1.4.2" | ||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
==Middleware in Traefik definieren== | ==Middleware in Traefik definieren== | ||
| Zeile 69: | Zeile 50: | ||
crowdsec-captcha: | crowdsec-captcha: | ||
forwardAuth: | forwardAuth: | ||
| − | address: http:// | + | address: http://localhost:8081/api/v1/forwardAuth |
trustForwardHeader: true | trustForwardHeader: true | ||
authResponseHeaders: | authResponseHeaders: | ||
- X-Crowdsec-Captcha-Result | - X-Crowdsec-Captcha-Result | ||
| − | ==Router | + | ==Middleware in Router einbinden (Beispiel uptime-kuma)== |
*vi /mnt/docker/uptime-kuma/docker-compose.yaml | *vi /mnt/docker/uptime-kuma/docker-compose.yaml | ||
Version vom 9. April 2025, 12:10 Uhr
Traefik mit CrowdSec und CAPTCHA absichern (lokaler ForwardAuth-Service mit Go-Plugin)
Ziel
HTTP-Angreifer sollen nicht sofort blockiert, sondern auf eine CAPTCHA-Seite umgeleitet werden. Nach dem Bestehen wird der Zugriff freigegeben, und dabei verwenden wir das von dir gebaute Go-Plugin.
Voraussetzungen
- Traefik läuft als Container
- HTTPS ist aktiv (Wildcard oder certresolver)
- CrowdSec ist direkt auf dem Docker-Host installiert
- Docker-Netzwerk heißt traefik-public
- Das Go-Plugin wurde erfolgreich gebaut und ist als .so-Datei vorhanden
CrowdSec vorbereiten
- API auf allen Interfaces verfügbar machen
- vi /etc/crowdsec/config.yaml
listen_uri: 0.0.0.0:8080
- systemctl restart crowdsec
- API-Schlüssel für den Bouncer erstellen
- cscli bouncers add traefik-captcha
→ Den API-Key kopieren
Go-Plugin in Traefik integrieren
- Wir brauchen golang
- apt install golang
- Repo klonen und Plugin kompilieren
- cd /mnt/docker/traefik/
- git clone https://github.com/fbonalair/traefik-crowdsec-bouncer
- cd traefik-crowdsec-bouncer/
- go build -o plugin.so .
- Plugin .so-Datei in den Traefik-Container kopieren
- mkdir -p /mnt/docker/traefik/plugins/crowdsec
- cp /mnt/docker/traefik/crowdsec-bouncer-traefik-plugin/plugin.so /mnt/docker/traefik/plugins/crowdsec/
- Traefik konfigurieren
- vi /mnt/docker/traefik/traefik.yaml
experimental:
plugins:
crowdsec:
moduleName: "/mnt/docker/traefik/plugins/crowdsec/plugin.so"
version: "v1.4.2"
Middleware in Traefik definieren
- vi /mnt/docker/traefik/conf/middleware.yaml
http:
middlewares:
crowdsec-captcha:
forwardAuth:
address: http://localhost:8081/api/v1/forwardAuth
trustForwardHeader: true
authResponseHeaders:
- X-Crowdsec-Captcha-Result
Middleware in Router einbinden (Beispiel uptime-kuma)
- vi /mnt/docker/uptime-kuma/docker-compose.yaml
- "traefik.http.routers.uptime-kuma.rule=Host(`uptime-kuma.samogo.de`)" - "traefik.http.routers.uptime-kuma.entrypoints=websecure" - "traefik.http.routers.uptime-kuma.tls=true" - "traefik.http.routers.uptime-kuma.service=uptime-kuma" - "traefik.http.routers.uptime-kuma.middlewares=crowdsec-captcha@file"
System starten
- docker compose up -d
Testen
- CAPTCHA-Zwang auslösen
- cscli decisions add --ip DEINE.IP.ADRESSE --type captcha --duration 10m
- Seite im Browser aufrufen
→ Die CAPTCHA-Seite erscheint
Fazit
Mit dem Beispiel aus examples/captcha wird ein eigenständiger ForwardAuth-Dienst genutzt, um CAPTCHA mit Traefik und CrowdSec zu kombinieren – ohne Plugin oder Container aus der Registry. Das Setup ist portabel, nachvollziehbar und funktioniert unabhängig vom Plugin-Hub.