0 comandos manuales en el router
Crea y elimina automáticamente las reglas de firewall filter/raw al iniciar y detener — no se necesita configuración manual del router.
La LAPI recibe decisiones sobre IPs maliciosas
Aplica los nuevos bloqueos y expira los antiguos
Actualiza las reglas del firewall a través de la API
Comprueba la salud, las métricas y los paneles
A diferencia de los bouncers que gestionan MikroTik mediante scripts periódicos de address-list, cs-routeros-bouncer se comunica directamente con la API de RouterOS y aplica cada decisión de CrowdSec como una llamada individual en tiempo real.
0 comandos manuales en el router
Crea y elimina automáticamente las reglas de firewall filter/raw al iniciar y detener — no se necesita configuración manual del router.
Gestión de IPs en tiempo real (~1–3 ms/op)
Añade IPs al bloquear, las elimina al desbloquear. Sin recargas masivas, sin duplicados. ~1–3 ms por operación.
Estado autorreparable
Al iniciar o reiniciar, sincroniza las decisiones de CrowdSec con el estado de MikroTik — añade las entradas que faltan y elimina las obsoletas automáticamente.
Observabilidad completa
Métricas de Prometheus, logs estructurados, endpoint de salud y un panel de Grafana listo para usar.
cs-routeros-bouncer es un bouncer de CrowdSec gratuito y de código abierto para MikroTik RouterOS. Sincroniza las decisiones de bloqueo/desbloqueo de CrowdSec con las reglas del firewall de RouterOS (filter y raw, IPv4 e IPv6) a través de la API de RouterOS, con reconciliación al inicio y periódica, métricas de Prometheus y limpieza segura de reglas.
Requiere CrowdSec 1.5+ con la Local API (LAPI) accesible desde el host del bouncer, y MikroTik RouterOS 7.x con el servicio API habilitado (puerto 8728, u 8729 para TLS), usando un usuario dedicado de la API de RouterOS con los permisos apropiados.
Sí. cs-routeros-bouncer tiene licencia MIT, está escrito en Go, se distribuye como un único binario estático, con el código fuente completo en GitHub y sin planes de pago.
Sí. Cada tipo de regla de RouterOS que gestiona (filter input, raw prerouting y opcionalmente filter output) tiene un equivalente IPv6, y la ubicación de las reglas IPv4/IPv6 puede configurarse de forma conjunta o sobrescribirse de forma independiente por protocolo.
¿En qué se diferencia cs-routeros-bouncer de los bouncers de CrowdSec para MikroTik basados en address-list o en scripts?
cs-routeros-bouncer se comunica directamente con la API de RouterOS y aplica cada bloqueo o desbloqueo como una llamada individual en tiempo real (alrededor de 1-3 ms), en lugar de regenerar periódicamente listas de direcciones mediante scripts programados. También ejecuta una reconciliación al inicio y periódica contra el estado real de MikroTik, de modo que las desviaciones se reparan automáticamente.