没有匹配规则时是否执行ModSecurity默认操作？

Question

我正在用nginx和modSecurity做实验，我有一个问题

如何为不匹配任何规则的actione设置默认操作

例如，我有一套规则允许人们从一套IP中做事情，我想阻止所有其他请求？我该怎么做呢? caN？

nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
SecGeoLookupDb /usr/local/geo/data/GeoLiteCity.dat

SecRule REMOTE_ADDR "@geoLookup" "phase:1,chain,id:10,allow,log,msg:'Blocking Country IP Address'"
SecRule GEO:COUNTRY_CODE "@pm CN"

SecDefaultAction "phase:1,log,auditlog,drop,status:403,tag:'SLA 24/7'"

Answer 1

如果您想拒绝所有以前未与任何规则匹配的请求，您必须在规则集的末尾创建一个显式的无条件规则(SecAction)，如下所示：

SecAction "id:10001,phase:1,deny,status:403,log"

请注意，对于这个解决方案(phase:1中的规则)，您不能使用任何其他阶段。当然，您应该将此规则放入phase:2中，但在该阶段没有任何规则，这就足够了。

更多关于你的例子的注释：

• 您的操作是allow，但消息是Blocking country IP Address，这有点令人困惑
• 如果您只想按国家/地区控制访问/不控制访问，有一个独立的Nginx module，您不需要任何网站管家

<>F213