3

我正在尝试将 Ubuntu 12.04 服务器上 modsecurity 上的一系列 ips (Googlebots) 列入白名单。例如,这是我需要列入白名单的范围:

66.249.64.0/19

我已经尝试了其他人建议的几种方法,但是只有单个 ips 被阻止,当我尝试作为一个范围时,白名单被忽略。我已在文件底部的新部分中将规则添加到 /usr/share/modsecurity-crs/modsecurity_crs_10_config.conf 中。

这有效:

SecRule REMOTE_ADDR "^66.249.65.3" 阶段:1,nolog,allow,ctl:ruleEngine=Off

这些不起作用:

SecRule REMOTE_ADDR "^66.249.64.0/19" 阶段:1,nolog,allow,ctl:ruleEngine=off

SecRule REMOTE_ADDR "@ipMatch 66.249.64.0/19" "phase:1,nolog,allow"

SecRule REMOTE_ADDR "^66.249.64\0/19$" 阶段:1,nolog,allow,ctl:ruleEngine=Off

我已经看到了几种不同的语法建议,但似乎都不适用于我的安装。mod-security 的版本重要吗?有什么建议吗?TIA

4

4 回答 4

7

我正在使用 Ubuntu,但结果可能相同

SecRule REMOTE_ADDR "@ipMatch 66.249.0.0/16" "id:26091975,phase:2,pass,nolog,allow,ctl:ruleEngine=Off"

它在我的服务器上运行良好。如果你想记录日志,只需去掉句子中的 nolog 命令。您可以更改掩码以更精确,但这取决于您。

注意使用正确的相位。在我的情况下是第 2 阶段。

为了更加自信,请阅读: https ://github.com/SpiderLabs/ModSecurity/wiki/Reference-Manual#ipMatch

他们更喜欢@ipMatch 运算符而不是正则表达式。在 Twitter 上关注 @ModSecurity

于 2015-02-11T23:02:24.073 回答
3

这适用于 mod_security >=2.8

SecRule REMOTE_ADDR "@ipMatch 192.168.1.100,192.168.1.50,10.10.50.0/24" phase:1,nolog,allow,ctl:ruleEngine=Off
于 2014-09-09T11:52:45.017 回答
2

这个应该可以;允许所有以66.249.64.

SecRule REMOTE_ADDR "^66\.249\.64" "phase:1,nolog,allow"
于 2014-01-01T17:10:49.773 回答
1

如果您在负载均衡器下,请使用:

SecRule REQUEST_HEADERS:X-Forwarded-For "@Contains 37.161.74.122" phase:1,nolog,allow,pass,ctl:ruleEngine=off,id:1
于 2017-06-15T09:45:12.413 回答