Crowdsec blockiert Domain -- Whitelist?

Started by white_rabbit, March 14, 2025, 11:16:53 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
March 14, 2025, 11:16:53 AM Last Edit: March 14, 2025, 11:36:38 AM by white_rabbit
Hallo.
Wir haben hier ein merkwürdiges Problem mit Crowdsec, das ich nicht verstehe.
Es geht um die Domain *.webuntis.com, die innerhalb unseres Netzes neuerdings sehr häufig aufgerufen wird. Diese Domain wird neuerdings von Crowdsec intern gesperrt (nicht permanent sondern mittlerweile zum zweiten Mal) -- mir ist aber nicht klar warum: Eigentlich sollte das Tool doch nicht bei Aufrufen von innen die Domain blockieren, oder?
Ich habe den Dienst im Moment deaktiviert, doch unter
Code Select
/usr/local/etc/crowdsec/parsers/s02-enrich
existiert bereits eine Datei
Code Select
mywhitelists.yaml.
 Wie müsste dort ein entsprechender Eintrag für die Domain aussehen? Und: Warum reagiert Crowdsec so, obwohl es doch eigentlich Angriffe von außen abwehren soll??
Zudem: Ich sehe im OPNSense-WebUI nichts davon. Sollten die gesperrten Domains dort nicht auch aufgelistet werden?
Vielen Dank.
Today at 09:04:29 AM #1 Last Edit: Today at 09:10:32 AM by Staddler
Ist zwar schon älter aber andere Benutzer suchen sicher auch danach.

Hier die Lösung:
FQDN WhiteListing


In Kürze:

Folgende Datei anlegen:
/usr/local/etc/crowdsec/postoverflows/FQDN-whitelists.yaml
Den Inhalt unten reinkopieren und anpassen.
Service neu starten.

Code Select
name: me/FQDN-whitlists
description: "Whitelist postoverflows from FQDN"
whitelist:
  reason: "do whitelistings by FQDN"
  expression:
    - evt.Overflow.Alert.Source.IP in LookupHost("foo.com")
    - evt.Overflow.Alert.Source.IP in LookupHost("foo.foo.org")
    - evt.Overflow.Alert.Source.IP in LookupHost("12123564.org")
Print
Go Up Pages1
User actions