我正在尝试使以下规则生效,但似乎什么也没做:
# Test IP address and block by country code
SecGeoLookupDb /usr/share/GeoIP/GeoIP.dat
SecRule REMOTE_ADDR "@geoLookup" "chain,id:20,drop,msg:'Block China IP address'"
SecRule GEO:COUNTRY_CODE "@streq CN HK"
我已经安装了GeoIP数据库一段时间,并将其成功用于其他目的,所以这不是问题。
按照目前的规则,上述规则不会执行任何操作-没有错误,也没有阻塞。鉴于大量的中国流量,我已经收到的日志应该绝对满了...
我正在运行的Modsecurity的版本为2.9.2-ubuntu18.04.19091318,并且服务器正在运行Plesk。我想知道是否还需要进行其他设置才能使此工作正常进行,或者是否至少有任何方法可以测试各个层...
您具有以下内容:
SecRule GEO:COUNTRY_CODE "@streq CN HK"
意思是国家代码必须与CN HK完全匹配,而实际上它是CN或HK。
我认为您希望以下各项与列出的任何一个国家/地区相符。
SecRule GEO:COUNTRY_CODE "@pm CN HK"