用 D-LINK DFL-CPG310 防火墙替换 Cisco Pix 防火墙

Question

David

Asked: 2021-04-27 18:19:40 +0800 CST2021-04-27 18:19:40 +0800 CST 2021-04-27 18:19:40 +0800 CST

如何使用 ModSecurity SecRule 根据其主机名限制特定客户端？

772

我试图限制特定主机（例如 AWS）访问我的网络服务器。我尝试了这些的不同变体，但它不起作用。

# Block AWS
SecRule REQUEST_HEADERS:Host ".*\.amazonaws\.com.*" \
"msg:'AWS blocked',id:10007,log,t:lowercase,drop,phase:1"

我试过了：

SecRule REQUEST_HEADERS:Host ".*\.amazonaws\.com.*"
SecRule REQUEST_HEADERS:Host "@rx ^.*\.amazonaws\.com.*$"
SecRule REQUEST_HEADERS:Host "@contains amazonaws.com"

以上都不起作用，所以我得出的结论是我的标头查询语法有问题。这是我尝试匹配排除的主机字符串的示例：主机：ec2-12-34-56-78.compute-1.amazonaws.com

2 个回答

Voted

David · Answer 1 · 2021-05-05T04:58:57+08:00

Best Answer

David

2021-05-05T04:58:57+08:002021-05-05T04:58:57+08:00

因此，根据我收集的信息，正如@FarhadSakhaei 指出的那样， REQUEST_HEADERS:Host 指的是请求的主机，而不是远程主机。这很奇怪，因为 REQUEST_HEADERS:User-Agent 确实返回了客户端的用户代理。

相反，可以使用 SecRule REMOTE_HOST 并将 Apache 指令 HostnameLookups 设置为“On”。

例如

SecRule REMOTE_HOST "bad\.host\.com$" "msg:'Bad host blocked',id:99999,log,drop,phase:1"

如果 HostnameLookups 为“Off”，REMOTE_HOST 将返回请求客户端的 IP 地址。显然，将 HostnameLookups 设置为“On”会导致一些性能下降，因此这是一种权衡。

1

Farhad Sakhaei · Answer 2 · 2021-05-11T02:21:38+08:00

Farhad Sakhaei

2021-05-11T02:21:38+08:002021-05-11T02:21:38+08:00

我用过这样的东西：

HostnameLookups "On"
SecRule REMOTE_HOST "@rx (?:amazonaws\.com|your-server\.de)"\
 "msg:'Bad host blocked - REMOTE HOST: %REMOTE_HOST}'\
,id:99999,log,drop,block,t:lowercase,phase:request,status:403"

效果很好，只需完成坏主机列表....

0

如何使用 ModSecurity SecRule 根据其主机名限制特定客户端？

新安装后 postgres 的默认超级用户用户名/密码是什么？

SFTP 使用什么端口？

命令行列出 Windows Active Directory 组中的用户？

什么是 Pem 文件，它与其他 OpenSSL 生成的密钥文件格式有何不同？

如何确定bash变量是否为空？

如何使用 ModSecurity SecRule 根据其主机名限制特定客户端？

2 个回答

相关问题