Modsecurity 忽略/白名单 IP

Question 1

几个问题：

REMOTE_HOST 是名称，不是 IP 地址。您需要的是 REMOTE_ADDR。
“ctl:ruleRemovebyID=.*” 不是有效语法，即使是，也不应该是必要的（但请参阅下面的第 4 点）。
最后不需要分号。
在 DetectionOnly 模式下，“Allow”会被忽略，我认为这违反直觉，如果您出于某种原因需要切换到此模式，则会导致大量错误检测。因此，我总是在我编写的任何“allow”规则中添加“ctl:ruleEngine=On”，以强制此规则在该模式下也能正常工作。

因此，最终正确的版本控制规则是：

SecRule REMOTE_ADDR "@ipmatch 99.123.33.87" "id:90000009,phase:1,t:none,allow,nolog,ctl:ruleEngine=On"

Answer

几个问题：

REMOTE_HOST 是名称，不是 IP 地址。您需要的是 REMOTE_ADDR。
“ctl:ruleRemovebyID=.*” 不是有效语法，即使是，也不应该是必要的（但请参阅下面的第 4 点）。
最后不需要分号。
在 DetectionOnly 模式下，“Allow”会被忽略，我认为这违反直觉，如果您出于某种原因需要切换到此模式，则会导致大量错误检测。因此，我总是在我编写的任何“allow”规则中添加“ctl:ruleEngine=On”，以强制此规则在该模式下也能正常工作。

因此，最终正确的版本控制规则是：

SecRule REMOTE_ADDR "@ipmatch 99.123.33.87" "id:90000009,phase:1,t:none,allow,nolog,ctl:ruleEngine=On"

Question 2

在 Barry Pollard 的回答中，虽然ctl:ruleEngine=On应该Off忽略所有规则，但正如问题所要求的那样。以下是另一个如何执行此操作的示例，来自工作配置：

SecRule REMOTE_ADDR "@contains 99.123.33.87" "id:1,phase:1,nolog,allow,ctl:ruleEngine=Off"

Answer

在 Barry Pollard 的回答中，虽然ctl:ruleEngine=On应该Off忽略所有规则，但正如问题所要求的那样。以下是另一个如何执行此操作的示例，来自工作配置：

SecRule REMOTE_ADDR "@contains 99.123.33.87" "id:1,phase:1,nolog,allow,ctl:ruleEngine=Off"

相关内容