mod_securityで特定のソースアドレスからのチェックを無効にする

アプリケーションの脆弱性の検査を外部委託してそこからウェブアプリケーションの脆弱性検査をするとのこと。実際にやってみるとWAFとして動作しているmod_securityに引っかかりまくるらしい。ちゃんと仕事してる。エライ。
で、素のアプリケーションを検査したいからなんとかしてくれとリクエスト。ソースアドレスごとmod_securityをパスさせるには以下をmodsecurity_crs_10_setup.confに書くとOK。

SecRule REMOTE_ADDR "@ipMatch 10.0.0.0/8 " \
  "id:'900005', \
  phase:1, \
  t:none, \
  ctl:ruleEngine=DetectionOnly, \
  setvar:tx.regression_testing=1, \
  nolog, \
  pass"

@ipMatchの次のところがソースアドレス。CIDR表記でOK。上記だと10.0.0.0/8からを素通しにします。