Utilizar la respuesta activa OSSEC detrás del equilibrador de carga

Tenemos OSSEC instalado en algunos serveres web que se ejecutan detrás de Amazon ELB. El problema es que cuando la respuesta activa dispara bloquea la dirección IP del equilibrador de carga. ¿Hay alguna manera de utilizar la respuesta activa para bloquear clientes enviar requestes sospechosas cuando OSSEC está detrás de un equilibrador de carga?

Gracias

Puede agregar la (s) IP (es) a la list blanca en ossec.conf. Ese file normalmente está en /var/ossec/etc/ossec.conf.

<global> <white_list>ip goes here</white_list> ... </global> 

A continuación, reinicie ossec con /etc/init.d/ossec restart.

Agregar el IP del equilibrador de carga a la directiva <white_list> no le haría bien en términos de alcanzar su objective, que es para OSSEC bloquear la IP actual que ofende (IP de usuario final conectada en serveres web).

Su equilibrador de carga tendría que ser ajustado para manejar los encabezados X-Forwarded-For, y su server web o la stack de aplicaciones tendrían que ser ajustados para registrar el IP X-Forwarded-For a los loggings.

Entonces OSSEC funcionaría como usted pensó, porque su característica de la respuesta activa identificará el IP que ofende correcto en los loggings.