我想要一个mod-security规则,它从文本数据文件中获取IP地址列表,如果客户端IP与其中一个不匹配,则将速率限制请求设置为每分钟200个请求。
答案 0 :(得分:1)
不要为此使用ModSecurity。它在处理请求之间的持久变量方面并不擅长 - 这对于任何类型的速率限制都是必需的。功能就在那里,但由于它使用基于磁盘的SDBM磁盘存储来实现这一功能,因此在任何实际负载下都无法工作。请参阅this discussion on ModeSecurity mailing thread作为此主题的许多示例线程之一。
对我而言,在使用某些非基于磁盘的存储之前,这不会是ModSecurity中的一个选项,因此最好留意this bug以查看何时实现。
相反,请查看fail2ban或其他防火墙保护。