Bloqueio de IP atrás de um balanceador de carga

O ELB não permite que você bloqueie IPs no nível do ELB. Seus próprios servidores precisariam rejeitar o tráfego. O ELB passa um cabeçalho X-Forwarded-For com o IP do solicitante que você pode usar para fazer isso.

Depende do que você quer dizer com bloqueio; você certamente pode usar o mod_access para negar o acesso de certos IPs (você precisa de mod_rpaf para isso também). Por outro lado, não vejo por que você não conseguiu bloquear o acesso nos balanceadores de carga, mas, novamente, não estou familiarizado com os detalhes do ELB; talvez eles não permitam adulterar muito em LBs.

A partir de setembro de 2017, a AWS lançou o Network Load Balancer, que possui vários recursos novos.

Uma vez que é a Preservação do endereço de origem - Com o Network Load Balancer, o endereço IP de origem e as portas de origem das conexões de entrada permanecem inalterados, portanto, o software de aplicativo não precisa suportar X-Forwarded-For, protocolo de proxy ou outras soluções alternativas. Isso também significa que regras de firewall normais, incluindo grupos de segurança de VPC, podem ser usadas em destinos.

de Novo Balanceador de carga de rede

Isso permitirá usar iptables, ipchains no nível do sistema operacional ou qualquer outro firewall TCP / IP.

Veja aqui uma boa discussão no fórum da AWS sobre como lidar com a questão do bloqueio de IPs nocivos por trás do ELB

O resultado final é:
1) O AWS ELB não permite filtrar o tráfego por IPs.
2) O tráfego proveniente do Classic ou do Application ELB não pode ser filtrado no nível do TCP (exceto com o novo Network LB, veja acima) porque é tudo proveniente do ELB no que se refere ao firewall da rede. 3) ELB adiciona X-Forwarded-For no cabeçalho http para que o tráfego possa ser filtrado no nível do aplicativo, como por Apache, Nginx, Verniz.