crowdsecurity/blocklist-mirror Docker Image Overview

crowdsecurity/blocklist-mirror

crowdsecurity

blocklist-mirror 是与 CrowdSec LAPI 集成的工具，用于获取安全决策并通过 HTTP 端点以纯文本、MikroTik、Juniper 等多种格式提供阻止列表，支持灵活身份验证与指标收集。

下载次数: 0状态：社区镜像维护者：crowdsecurity仓库类型：镜像最近更新：1 个月前

轩辕镜像，不浪费每一次拉取。点击查看

中文简介版本下载

轩辕镜像，不浪费每一次拉取。点击查看

blocklist-mirror

镜像概述与主要用途

blocklist-mirror 是一款轻量级工具，旨在与 CrowdSec LAPI（Local API）集成，获取安全决策（如***IP地址）并通过 HTTP 端点以多种格式提供阻止列表。它允许网络设备（如防火墙、路由器）或安全工具轻松导入这些阻止列表，增强网络安全防护能力。

核心功能与特性

多格式支持：提供纯文本（plain_text）、MikroTik、Juniper SRX 等多种阻止列表格式，适配不同设备需求。
灵活身份验证：支持无身份验证（none）、基于IP（ip_based）和基本身份验证（basic），保障访问安全。
指标收集：内置指标功能，可通过指定端点暴露运行状态数据，便于监控。
CrowdSec 集成：无缝对接 CrowdSec LAPI，实时获取最新安全决策，支持自定义更新频率与过滤规则。
TLS 加密：可选启用 TLS 加密，保护 HTTP 传输安全。

使用场景与适用范围

适用于已部署 CrowdSec 的网络环境，需要将 CrowdSec 生成的安全决策同步至网络设备（如 MikroTik 路由器、Juniper SRX 防火墙）、防火墙或其他安全工具的场景。例如：

MikroTik 路由器通过脚本定期拉取阻止列表，拦截***IP。
Juniper SRX 防火墙配置动态地址列表，自动导入并应用阻止规则。
安全监控系统通过指标端点监控阻止列表服务状态。

详细使用方法与配置说明

前置准备

获取 CrowdSec LAPI 密钥
在运行 CrowdSec LAPI 的机器上执行以下命令生成 lapi_key：

bash
sudo cscli -oraw bouncers add blocklistMirror

创建配置文件
创建 cfg.yaml 配置文件，基础模板如下：

yaml
config_version: v1.0
crowdsec_config:
  lapi_key: ${API_KEY}  # 替换为实际的 lapi_key
  lapi_url: [***]  # 替换为 LAPI 可访问地址
  update_frequency: 10s
  include_scenarios_containing: []
  exclude_scenarios_containing: []
  only_include_decisions_from: []
  insecure_skip_verify: false

blocklists:
  - format: plain_text  # 支持 plain_text、mikrotik、juniper
    endpoint: /security/blocklist
    authentication:
      type: none  # 支持 none、ip_based、basic
      user:
      password:
      trusted_ips:
        - 127.0.0.1
        - ::1

listen_uri: 0.0.0.0:41412
tls:
  cert_file:
  key_file:

metrics:
  enabled: true
  endpoint: /metrics

log_media: stdout
log_level: info

配置调整
- 根据需求修改 crowdsec_config 中的 lapi_url（确保容器可访问 LAPI）、update_frequency（更新频率）等参数。
- 在 blocklists 部分配置阻止列表格式（format）、访问端点（endpoint）及身份验证方式（authentication）。
- 如需启用 TLS，指定 tls.cert_file 和 tls.key_file 的路径。

Docker 部署示例

Docker Run 命令

bash
docker run \
  -v $PWD/cfg.yaml:/etc/crowdsec/bouncers/crowdsec-blocklist-mirror.yaml \
  -p 41412:41412 \
  crowdsecurity/blocklist-mirror

-v：挂载本地配置文件到容器内指定路径。
-p：映射容器端口（41412）到主机，允许外部访问阻止列表端点。

配置参数详解

crowdsec_config

参数	描述
`lapi_url`	CrowdSec LAPI 的 URL，容器需能访问此地址。
`lapi_key`	访问 LAPI 的密钥，通过 `cscli bouncers add` 命令生成。
`update_frequency`	从 LAPI 获取决策的更新频率，例如 `10s`（10秒）。
`include_scenarios_containing`	仅包含触发包含指定关键词场景的决策，为空则包含所有。
`exclude_scenarios_containing`	排除触发包含指定关键词场景的决策，为空则不排除。
`only_include_decisions_from`	仅包含指定来源的决策，例如 `["cscli", "crowdsec"]`。
`insecure_skip_verify`	是否跳过 TLS 证书验证，设为 `true` 时不验证（不建议生产环境使用）。
`listen_uri`	服务监听地址，格式为 `IP:端口`，例如 `0.0.0.0:41412`。

tls_config

参数	描述
`cert_file`	TLS 证书文件路径（启用 TLS 时必填）。
`key_file`	TLS 私钥文件路径（启用 TLS 时必填）。

metrics

参数	描述
`enabled`	是否启用指标收集，`true` 为启用，`false` 为禁用。
`endpoint`	指标暴露端点，例如 `/metrics`。

blocklists

每个阻止列表包含以下配置：

参数	描述
`format`	阻止列表格式，支持 `plain_text`、`mikrotik`、`juniper`。
`endpoint`	阻止列表访问端点，例如 `/security/blocklist`。
`authentication`	身份验证配置，详见下方 `authentication` 参数表。

authentication

参数	描述
`type`	身份验证类型：`none`（无验证）、`basic`（基本验证）、`ip_based`（IP验证）。
`user`	`basic` 验证时的用户名。
`password`	`basic` 验证时的密码。
`trusted_ips`	`ip_based` 验证时允许访问的 IP/IP 段列表，例如 `["192.168.1.0/24", "::1"]`。

全局运行时查询参数

访问阻止列表端点时可附加以下查询参数：

参数	描述	是否需值	示例
`ipv4only`	仅返回 IPv4 地址。	否	`http://localhost:41412/security/blocklist?ipv4only`
`ipv6only`	仅返回 IPv6 地址。	否	`http://localhost:41412/security/blocklist?ipv6only`
`nosort`	不排序 IP 地址，可提升性能（约 1ms）。	否	`http://localhost:41412/security/blocklist?nosort`
`origin`	仅返回指定来源的 IP，需指定来源值。	是	`http://localhost:41412/security/blocklist?origin=cscli`

支持的阻止列表格式

plain_text

纯文本格式，每行一个 IP 地址。

示例：

text
1.2.3.4
4.3.2.1
2001:470:1:c84::17

mikrotik

生成 MikroTik 脚本，用于自动更新防火墙地址列表。

MikroTik 查询参数

参数	描述
`listname=foo`	指定地址列表名称，默认 `CrowdSec`。

示例输出（listname=foo）：

bash
/ip/firewall/address-list/remove [ find where list="foo" ];
:global CrowdSecAddIP;
:set CrowdSecAddIP do={
    :do { /ip/firewall/address-list/add list=foo address=$1 comment="$2" timeout=$3; } on-error={ }
}
$CrowdSecAddIP 1.2.3.4 "ssh-bf" 152h40m24s
$CrowdSecAddIP 4.3.2.1 "postfix-spam" 166h40m25s
$CrowdSecAddIP 2001:470:1:c84::17 "ssh-bf" 165h13m42s

MikroTik 导入脚本示例

通过 MikroTik 脚本定期拉取并导入阻止列表：

bash
:local name "[crowdsec]"
:local url "http://<IP>:41412/security/blocklist?ipv4only&nosort"  # 替换为实际地址
:local fileName "blocklist.rsc"
:log info "$name fetch blocklist from $url"
/tool fetch url="$url" mode=http dst-path=$fileName
:if ([:len [/file find name=$fileName]] > 0) do={
    :log info "$name import;start"
    /import file-name=$fileName
    :log info "$name import:done"
} else={
    :log error "$name failed to fetch the blocklist"
}

Juniper SRX

生成 Juniper SRX 防火墙支持的 CIDR 格式纯文本文件（需端点以 .txt 结尾）。

示例：

text
1.2.3.4/32
4.3.2.1/32
2001:470:1:c84::17/128

Juniper SRX 配置示例

调整 blocklist 端点
在 cfg.yaml 中设置端点为 .txt 结尾：

yaml
blocklists:
  - format: plain_text
    endpoint: /security/blocklist.txt  # 需以 .txt 结尾
    authentication:
      type: none

SRX 动态地址配置

text
set security dynamic-address feed-server crowdsec url [***]  # 替换为 blocklist-mirror 地址
set security dynamic-address feed-server crowdsec update-interval 30
set security dynamic-address feed-server crowdsec feed-name crowdsec path /security/blocklist.txt
set security dynamic-address address-name crowdsec-blocklist profile feed-name crowdsec

验证配置

text
user@srx> show security dynamic-address summary

成功配置后将显示类似以下内容：

text
Server Name                 : crowdsec
  Hostname/IP               : [***]
  Update interval           : 30
  ...
  Feed Name                             : crowdsec
      Mapped dynamic address name       : crowdsec-blocklist
      URL                               : [***]
      Total IPv4 entries                : ***

查看更多 blocklist-mirror 相关镜像 →