mod_security позади обратного прокси и клиентского IP

client -> haproxy -> mod_security boxes -> backends

Проблема: поля mod_security используют mod_rpaf с IP haproxy в 'RPAFproxy_ips'. Apache, регистрирующий выставочные клиенты реальный IP, но mod_security все еще, сообщает о haproxys IP, как замечено ниже.

Клиентский IP нашел в апачском журнале mod_sec полей

x.93.129.90 - - [14/Oct/2015:08:35:56 +0200] "GET /MYTEST HTTP/1.1" 301 524 "-" "curl/7.15.5 (x86_64-redhat-linux-gnu) libcurl/7.15.5 OpenSSL/0.9.8b zlib/1.2.3 libidn/0.6.5"

Отчеты Mod_security проксируют IP (клиент x.21.107.165)

 ==> /var/log/apache2/site.se_error.log <==
[Wed Oct 14 08:36:12.584500 2015] [:error] [pid 10264:tid 139895758558976]  [client x.21.107.165] ModSecurity: Access denied with code 403 (phase 2). 
Pattern match "\\\\balert\\\\b[^a-zA-Z0-9_]{0,}?\\\\(" at ARGS_NAMES:
<script>alert(1)</script>. [file "/usr/share/cwaf/rules/07_XSS_XSS.conf"] <etc>..

Люди вокруг сетей, кажется, выполняют rpaf с mod_sec, я делаю что-то не так?

Кто-либо знает другой хороший подход? Я видел, что некоторый mod_sec постановляет, что в основном используют значение от заголовка, если существующий, еще нейтрализация к remote_addr, но я не заставил это работать.