====== Crowdsec und iplists ======

2024-09-03 by andreas\\
\\
====== crowdsec ======

IPs von der Sperre ausnehmen (allow-listing):
''/etc/crowdsec/parsers/s02-enrich/mywhitelists.yaml'':
<code>
name: crowdsecurity/whitelists
description: "Whitelist events from my ip addresses"
whitelist:
  reason: "RFC1918 ip ranges"
  ip:
    - "192.168.x.x/16"
    - "10.x.x.x/8"
</code>

====== ipset ======
gesperrte IPs anzeigen:
<code>
ipset list crowdsec-blacklists
</code>
IP Eintrag löschen:
<code>
ipset del crowdsec-blacklists <IP>
</code>

====== cscli ======
gesperrte IPs anzeigen:
<code>
server14:~# cscli decisions list
╭──────────┬──────────┬───────────────────┬────────────────────────────┬────────┬─────────┬────┬────────┬────────────┬──────────╮
│    ID    │  Source  │    Scope:Value    │           Reason           │ Action │ Country │ AS │ Events │ expiration │ Alert ID │
├──────────┼──────────┼───────────────────┼────────────────────────────┼────────┼─────────┼────┼────────┼────────────┼──────────┤
│ 88771471 │ crowdsec │ Ip:192.168.60.104 │ crowdsecurity/http-probing │ ban    │         │    │ 11     │ 3h48m53s   │ 10363    │
╰──────────┴──────────┴───────────────────┴────────────────────────────┴────────┴─────────┴────┴────────┴────────────┴──────────╯
</code>
gesperrte IPs freigeben:
<code>
server14:~# cscli decisions delete -i 192.168.60.104
</code>

\\
{{tag>}}