前の記事では、ModSecurity のホワイトリストに、IP アドレスを個別追加する方法をご紹介しましたが、社内 LAN のパソコンからアクセス制御を行う場合は、パソコンの台数が多すぎるため、この方法では厳しくなってきます。
そこで、ホワイトリストの IP アドレスの追加を、サブネット単位の範囲で指定する方法をご紹介します。
まず、以下のファイルを編集します。
# vi /etc/httpd/conf/httpd.conf
そして、以下のように IP アドレスとサブネットを指定します。今回はローカル IP アドレスの 24 ビットをネットワークアドレスとして割り当てました。なお、id は重複しない適当なものを割り当てます
SecRule REMOTE_ADDR "@ipMatch 192.168.11.0/24" "id:136,phase:1,nolog,allow"
Web サーバーを再起動して、設定を反映させます。
# service httpd restart
以下のアドレスにアクセスして、Web ページが表示されるか、404 Not Found が表示されれば設定が有効になっています。
http://hostname/index.php?union+select
IP アドレスを個別に指定するより、こちらのサブネットでの指定方法の方が業務用途ではニーズにあうでしょうね。うまく使い分けてください。
WAF設定まとめ
WAFの設定については以下のページにまとめていますので、こちらもどうぞ。
コメント