宝塔Linux如何屏蔽国外IP

  • 内容
  • 相关

前言

自己做了个论坛,论坛里面发了一个cc工具,有人用我发的工具打我论坛,都是国外流量,很强的,基本秒杀我,当时没有做策略服务器硬抗,只是变慢了。

最后换到appnode控制面板,因为我记得这个控制面板免费版还不错有个策略防护挺好的。

换到APPnode之后,反而被打到500。然后通过百度找到这篇文章

《一次很奇葩的 Nginx 500 Internal Server Error》

然后查看appnode原来appnode防cc用的是lua支持模块

找到原因,开始处理。

正文

对NGINX折腾发现很难,于是想到奇葩的解决方法

我直接屏蔽国外吧,这样就不会被打到500(手动滑稽)

然后百度找了很多文章,我靠这些ip段好老,而且很多,直接白名单国内吧,然后找到一个

https://github.com/17mon/china_ip_list  好像是每月更新一次还不错

因为这篇文章主要还是说Linux如何屏蔽国外上面这个 可以用控制面板的黑名单直接拉黑

appnode 可以

宝塔没看见可以直接屏蔽或者白名单某个ip段或者其他,可以屏蔽指定ip

宝塔用户可以看看接下来的


介绍ipset

ipset 是 iptables 的扩展,它允许你创建匹配整个 IP 地址集合的规则。可以快速的让我们屏蔽某个 IP 段。这里分享一个屏蔽指定国家的 IP 访问的方法和一个屏蔽国外 IP 访问(仅允许国内 IP 访问)的方法,当我们遇到 CC 攻击,可以尝试选择和使用能有所缓解。

首先需要得到国家 IP 段,下载地址:http://www.ipdeny.com/ipblocks/。这里以我们国家为例。

安装ipset

#Debian/Ubuntu系统apt-get -y install ipset #CentOS系统yum -y install ipset

创建规则

#创建一个名为cnip的规则ipset -N cnip hash:net#下载国家IP段wget -P . http://www.ipdeny.com/ipblocks/data/countries/cn.zone  这里是中国的#将IP段添加到cnip规则中for i in $(cat /root/cn.zone ); do ipset -A cnip $i; done

开始屏蔽

i

解除屏蔽

#

仅允许国内 IP 访问

注意:此方法仅在 CENTOS 6 下调试通过。

运行下面的命令获取国内 IP 网段,会保存到 /root/china_ssr.txt

wget

将下面脚本的完整代码保存为 /root/allcn.sh

mmo

设置可执行权限

chmod a+x /root/allcn.sh

管理命令

/root/allcn.sh

运行后国外 IP 无法访问网站

/

运行后国外 IP 恢复访问网站

总结

屏蔽国外ip对网站是有一定好处,如果你的网站是有一定国外用户,那就不要去屏蔽,一般情况,是不会有国外用户,国外的ip一般都是对你网站进行漏洞扫描等其他操作,屏蔽后对网站也有一定好处。



本文标签:

版权声明:若无特殊注明,本文皆为《晶天》原创,转载请保留文章出处。

本文链接:宝塔Linux如何屏蔽国外IP - https://www.jqlab.cn/post-1028.html

发表评论

电子邮件地址不会被公开。 必填项已用*标注