Eu encontrei o problema. Eu estava colocando essa regra no arquivo de regras locais, que é a última coisa a ser definida. A coleção de IP já havia sido inicializada por outra regra que prevalecia.
A solução foi mover a linha superior (aquela com initcol
in) para o início da configuração do mod_security, de modo que todas as referências à coleção IP usem a chave x-forwarded-for
que defini, em vez da% padrãoREMOTE_ADDR
.
Espero que isso resgate outra pessoa lá fora, uma manhã de tirar o cabelo! :]