喵斯基部落 
Linux VPS屏蔽国外IP访问的实战方案
556 字
3 分钟
Linux VPS屏蔽国外IP访问的实战方案
前言
ipset是iptables的扩展,它允许你创建匹配整个IP地址集合的规则。可以快速的让我们屏蔽某个IP段。这里分享一个屏蔽指定国家的IP访问的方法和一个屏蔽国外IP访问(仅允许国内IP访问)的方法,当我们遇到CC攻击,可以尝试选择和使用能有所缓解。
屏蔽指定国家的IP
首先需要得到国家IP段,下载地址:http://www.ipdeny.com/ipblocks/。这里以我们国家为例。
1、安装ipset
#Debian/Ubuntu系统apt-get -y install ipset
#CentOS系统yum -y install ipset2、创建规则
#创建一个名为cnip的规则ipset -N cnip hash:net#下载国家IP段wget -P . http://www.ipdeny.com/ipblocks/data/countries/cn.zone#将IP段添加到cnip规则中for i in $(cat /root/cn.zone ); do ipset -A cnip $i; done3、开始屏蔽
iptables -I INPUT -p tcp -m set --match-set cnip src -j DROP4、解除屏蔽
#-D为删除规则iptables -D INPUT -p tcp -m set --match-set cnip src -j DROP仅允许国内IP访问
注意:此方法仅在CENTOS 6下调试通过。
1、运行下面的命令获取国内IP网段,会保存到 /root/china_ssr.txt
wget -q --timeout=60 -O- 'http://ftp.apnic.net/apnic/stats/apnic/delegated-apnic-latest' | awk -F\| '/CN\|ipv4/ { printf("%s/%d\n", $4, 32-log($5)/log(2)) }' > /root/china_ssr.txt2、将下面脚本的完整代码保存为/root/allcn.sh
mmode=$1
#下面语句可以单独执行,不需要每次执行都获取网段表#wget -q --timeout=60 -O- 'http://ftp.apnic.net/apnic/stats/apnic/delegated-apnic-latest' | awk -F\| '/CN\|ipv4/ { printf("%s/%d\n", $4, 32-log($5)/log(2)) }' > /root/china_ssr.txt
CNIP="/root/china_ssr.txt"
gen_iplist() { cat <<-EOF $(cat ${CNIP:=/dev/null} 2>/dev/null)EOF}
flush_r() {iptables -F ALLCNRULE 2>/dev/nulliptables -D INPUT -p tcp -j ALLCNRULE 2>/dev/nulliptables -X ALLCNRULE 2>/dev/nullipset -X allcn 2>/dev/null}
mstart() {ipset create allcn hash:net 2>/dev/nullipset -! -R <<-EOF$(gen_iplist | sed -e "s/^/add allcn /")EOF
iptables -N ALLCNRULEiptables -I INPUT -p tcp -j ALLCNRULEiptables -A ALLCNRULE -s 127.0.0.0/8 -j RETURNiptables -A ALLCNRULE -s 169.254.0.0/16 -j RETURNiptables -A ALLCNRULE -s 224.0.0.0/4 -j RETURNiptables -A ALLCNRULE -s 255.255.255.255 -j RETURN#可在此增加你的公网网段,避免调试ipset时出现自己无法访问的情况
iptables -A ALLCNRULE -m set --match-set allcn src -j RETURNiptables -A ALLCNRULE -p tcp -j DROP
}
if [ "$mmode" == "stop" ] ;thenflush_rexit 0fi
flush_rsleep 1mstart3、设置可执行权限
chmod a+x /root/allcn.sh4、管理命令
/root/allcn.sh运行后国外IP无法访问网站
/root/allcn.sh stop运行后国外IP恢复访问网站
支持与分享
如果这篇文章对你有帮助,欢迎分享给更多人或赞助支持!
Linux VPS屏蔽国外IP访问的实战方案
https://blog.moewah.com/posts/435/ 相关文章 智能推荐
1
通过 Let's Encrypt 获取免费 SSL 证书的两种方法!
网络与安全 如何通过Let's Encrypt获取免费SSL证书?本文详细对比acme.sh和certbot两种方法,手把手教你配置泛域名SSL证书,解决自动化续期问题。涵盖DNS验证、命令行操作等实战步骤,快速上手无需复杂配置。适合服务器管理员和开发者参考学习。
2
ngx_waf 高性能 Nginx 网站防火墙模块全解析
网络与安全 如何为 Nginx 部署高性能网站防火墙?本文详解 ngx_waf 模块的功能特性与编译安装流程,涵盖 SQL 注入、XSS 攻击防护及 CC 防御等核心功能,助你快速构建安全的 Web 环境。
3
GhostVM:给 AI Agent 一个完整的 Mac,而不是容器!
虚拟化与运维 介绍 GhostVM——基于 Apple Virtualization.framework 的 macOS 虚拟机工具。支持近原生性能、自包含 bundle、秒级克隆,提供完整的 CLI (vmctl) 覆盖 GUI 功能,适合 AI agent 隔离环境和多项目开发者。
4
纳瓦尔的人生智慧:关于财富、幸福与自由的 18 条原则
认知与成长 硅谷投资人纳瓦尔·拉维坎特的人生洞见浓缩:从财富创造、幸福修炼到心智模型,18 条可执行原则帮你在长期主义中找到自由。
5
AI搜索吃掉一半流量?2026 你必须调整的内容推广方法
增长与SEO 2026年AI搜索覆盖48%查询,传统社群转发式推广失效。梳理五个按意图优先级排列的分发渠道——GEO优化、Reddit投放、战略合作、员工倡导、直接外联——附带推广时间线和内容再创作框架。
随机文章 随机推荐