CrowdSec mit Traefik Bouncer: echte Blocklisten im Reverse Proxy

Schwierigkeit: Mittel · Dauer: 45–90 Min · Ziel: CrowdSec mit Traefik Bouncer: echte Blocklisten im Reverse Proxy

Kurzproblem und Zielbild

Viele Homelab-Setups sind im Alltag schwer wartbar: Änderungen wirken auf mehrere Ebenen, Fehler sind nicht sauber eingegrenzt und Checks fehlen. Dieser Guide liefert einen praxisnahen Ablauf mit reproduzierbaren Schritten und klaren Kontrollpunkten.

Voraussetzungen

• Linux-/CLI-Grundlagen
• Admin-Zugriff auf die Zielsysteme
• Snapshot/Backup vor Änderungen

Schnellstart (funktionierende Basis)

hostnamectl
ip a
systemctl --failed
journalctl -p 3 -xb --no-pager | tail -n 30

Schritt-für-Schritt Umsetzung

1) Ausgangszustand dokumentieren

date -Iseconds
uname -a
# aktuelle Versionen und relevante Konfig-Pfade notieren

2) Kernkonfiguration sauber setzen

sudo cscli bouncers add traefik-bouncer
docker logs --tail 120 traefik
sudo cscli decisions list -n 20

3) Dienst/Funktion gezielt prüfen

sudo cscli alerts list -n 20
# geblockte Test-IP im Traefik-Log prüfen

4) Betriebsgrenzen testen

# Negativtest/Failover/Fehlerszenario bewusst gegenprüfen
# Ergebnis dokumentieren und Grenzwerte anpassen

Validierung / Checks

sudo cscli alerts list -n 20
# geblockte Test-IP im Traefik-Log prüfen
# End-to-End Funktion einmal vollständig testen

Troubleshooting

Konfiguration wird nicht übernommen

Ursache: Syntax-/Reload-Fehler oder falscher Parameterpfad.

# Syntax/Config prüfen
# betroffenen Dienst neu laden
# Logs erneut analysieren

Dienst läuft, Funktion aber fehlerhaft

Ursache: Abhängigkeiten, Routing, Rechte oder Versionen inkonsistent.

# Netzwerkpfad und Berechtigungen prüfen
# gezielten Re-Test unter kontrollierten Bedingungen ausführen

Fazit

Mit einem klaren Ablauf, harten Checks und dokumentierten Grenzwerten bleibt das Setup wartbar statt zufällig stabil. Nächster Schritt: den Ablauf als monatliche Betriebsroutine einplanen.

Quellen

• CrowdSec Traefik bouncer
• CrowdSec cscli
• Traefik docs