apacheでdos攻撃対策について

apacheのモジュールでdos対策をしたいと思っています。

リモートIPアドレスを元に同じIPからのアクセスの場合、
mod_evasive等のモジュールで制限をする想定です。

ただ、ロードバランサを介したネットワーク構成の為、
リモートIPアドレスがロードバランサのIPになってしまい、
想定通りに制限できません。

ロードバランサからある変数でリクエストヘッダにオリジナルの
リモートIPアドレスは設定されているので、
（X-Forwarded-Forには設定されていません）
そこを元に制限しようと思うのですが、
mod_evasiveにはそのような設定や方法がありません。

他で対応できるモジュールはあるのでしょうか？

もしくはリクエストヘッダに設定されたオリジナルの
リモートIPアドレスが制限対象となるように、
httpdの内部のリモートIPアドレスを保持している変数に
上書きするような方法はありますか？

よろしくお願いします。

行動規範の内容に同意します

回答2件

ロードバランサからx-forwarded-forの値が当該サーバに渡されるのであれば、
mod_evasiveを動作させるApacheに、mod_extract_forwardedを導入することで、
remote_addrがセットされるので動作させられるのですが。。。

投稿2015/08/08 14:10

Ken.sakanakana

総合スコア1768

rgaruaru

2015/08/10 12:30

回答ありがとうございます。 mod_extract_forwardedも検討していました。 LogFormatで%{X-Forwarded-For}iを指定しても-が返ってくるので、やはりサーバには渡されていないようです。ただ、もしLB側でセットしてもらうことができるとして… mod_extract_forwardedでx-forwarded-forをremote_addrに書き換える ↓ mod_evasiveはそのHTTPヘッダをリモートIPとみなして動作するという事でしょうか。現時点でLogFormatで%{REMOTE_ADDR}iを指定するとオリジナルIPが取得できているので、同じことのような気がするのですが… 認識が違いましたら、ぜひ回答をお願いします。

行動規範の内容に同意します