PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : kein funktionierendes Beispiel für Apache 2.4 modsecurity mit rate-limit?



Poison Nuke
16.09.16, 08:28
Hallo,

ich finde nirgendwo ein funktionierendes Beispiel für ein simples rate-limit mit mod_security. Sämtliche Beispiele die verfügbar sind, haben Syntax-Errors.


Hier das aktuellste:


<LocationMatch "^/(.*)">
#counts everything but images and such
SecAction initcol:ip=%{X-Forwarded-For},pass,nolog,id:4444446
SecAction "phase:5,deprecatevar:ip.mysiteconncounter=1/1,pass,nolog,id:4444447"
SecRule IP:MYSITECONNCOUNTER "@gt 150” “id:4444448,phase:2,pause:300,deny,status:509,sete nv:RATELIMITED,skip:1,nolog"
SecAction "id:4444449,phase:2,pass,setvar:ip.mysiteconncounte r=+1,nolog"
Header always set Retry-After "15" env=RATELIMITED
</LocationMatch>
ErrorDocument 509 "Rate Limit Exceeded"


Fehlermeldung lautet:

"ModSecurity: Rules must have at least id action"


was so aber nicht stimmt, da wie gefordert jede Rule eine id hat. Wo liegt hier das Problem?

muell200
16.09.16, 09:23
SecRule IP:MYSITECONNCOUNTER "@gt 150” “id:4444448,phase:2,pause:300,deny,status:509,sete nv:RATELIMITED,skip:1,nolog"



du musst eine id mit angeben: zb:

SecRule IP:MYSITECONNCOUNTER "@gt 150” “id:4444448,phase:2,pause:300,deny,status:509,sete nv:RATELIMITED,skip:1,nolog,id:'200001'"

Poison Nuke
16.09.16, 09:48
Hallo,

thx. Irgendwie versteh ich den Punkt nicht. Jetzt sind da zwei IDs drin? Am Anfang der Rule steht ja schon eine. Und es ändert auch nix am Fehleroutput.

Kann der Fehler noch etwas anderes aussagen? Jede Rule und Action hat eine ID, irgendwo stand mal was von einer meta-action, aber ich finde nichts dazu, was das ist.

muell200
16.09.16, 09:53
thx. Irgendwie versteh ich den Punkt nicht. Jetzt sind da zwei IDs drin? Am Anfang der Rule steht ja schon eine. Und es ändert auch nix am Fehleroutput.


upps habe ich uebersehen... sehe auf die schnelle auch keinen fehler..

florian0285
16.09.16, 11:10
https://evilazrael.de/content/modsecurity-rules-must-have-least-id-action