Wer einen Server bei Hetzner betreibt, kennt das Gefühl: Kaum ist die Kiste online, klopfen die ersten ungebetenen Gäste an. Bots, Scaper, Skript-Kiddies – das Internet ist ein Dorf, und leider haben nicht alle Nachbarn gute Absichten.

Nachdem ich mein VPN auf Tailscale umgezogen habe, war klar: Der verbleibende HTTP-Traffic für Immich, Paperless und mein Portal braucht einen Türsteher, der keine Gefangenen macht.

Warum CrowdSec? (Oder: Einer für alle, alle gegen die Bots)

Fail2Ban ist okay, aber es kämpft allein. CrowdSec ist wie eine globale Nachbarschaftswache auf Steroiden. Wenn ein Server in Japan angegriffen wird, weiß mein Server in Nürnberg Sekunden später Bescheid und zieht die Zugbrücke hoch. Es ist eine echte Gemeinschaftsleistung gegen Cyber-Kriminalität.

Die Architektur: Blocken, bevor es weh tut

Ich fackele nicht lange. Mein Setup arbeitet auf Layer 3/4:

  1. Security Engine: Mein Ubuntu-Host scannt die Logs des Nginx Proxy Managers in Echtzeit nach verdächtigen Mustern.
  2. Firewall-Bouncer: Erkennt die Engine einen Angreifer, knallt der Bouncer die Tür zu (via nftables). Der bösartige Traffic wird verworfen, noch bevor er meine Docker-Container auch nur kitzeln kann. Das spart wertvolle CPU-Ressourcen auf dem Hetzner-Server.

Meine persönliche Blacklist-Elite

Zusätzlich zur lokalen Log-Analyse habe ich vier strategische Blocklisten abonniert, die das bekannte „Grundrauschen“ filtern:

  • Firehol Greensnow: Blockt massenhafte IP-Scans und allgemeine Angriffe.
  • Firehol BotScout: Mein persönlicher Schutz gegen Login-Bots an meinem Portal.
  • Firehol Cybercrime Tracker: Sperrt IPs von bekannten Malware-Schleudern.
  • CrowdSec Community List: Der Echtzeit-Feed der globalen CrowdSec-Nutzer.

Fazit: Voller Schutz, null Stress

Ist das Overkill für eine private Seite? Vielleicht. Aber es schläft sich deutlich ruhiger, wenn man weiß, dass die digitale Türsteher-Gang jeden Scammer direkt an der Bordsteinkante abfängt.