Linux屏蔽海外

发布于 2019-08-05  227 次阅读


有太多屏蔽海外的方法,有给国内IP加白名单的,还有用iptables拉黑国外IP或者用ipset来做一个储存国外IP的几块链。这几种有利也有弊

如果你的Linux用来跑仅仅是用来跑网站的话推荐用以下这款

运行下面的命令获取国内 IP 网段,会保存到/root/china_ssr.txt

wget -q --timeout=60 -O- 'http://ftp.apnic.net/apnic/stats/apnic/delegated-apnic-latest' | awk -F\| '/CN\|ipv4/ { printf("%s/%d\n", $4, 32-log($5)/log(2)) }' > /root/china_ssr.txt

将下面脚本的完整代码保存为 /root/allcn.sh

mmode=$1
 
#下面语句可以单独执行,不需要每次执行都获取网段表
#wget -q --timeout=60 -O- 'http://ftp.apnic.net/apnic/stats/apnic/delegated-apnic-latest' | awk -F\| '/CN\|ipv4/ { printf("%s/%d\n", $4, 32-log($5)/log(2)) }' > /root/china_ssr.txt
 
CNIP="/root/china_ssr.txt"
 
 
gen_iplist() {
        cat <<-EOF
                $(cat ${CNIP:=/dev/null} 2>/dev/null)
EOF
}
 
flush_r() {
iptables  -F ALLCNRULE 2>/dev/null
iptables -D INPUT -p tcp -j ALLCNRULE 2>/dev/null
iptables  -X ALLCNRULE 2>/dev/null
ipset -X allcn 2>/dev/null
}
 
mstart() {
ipset create allcn hash:net 2>/dev/null
ipset -! -R <<-EOF 
$(gen_iplist | sed -e "s/^/add allcn /")
EOF
 
iptables -N ALLCNRULE 
iptables -I INPUT -p tcp -j ALLCNRULE 
iptables -A ALLCNRULE -s 127.0.0.0/8 -j RETURN
iptables -A ALLCNRULE -s 169.254.0.0/16 -j RETURN
iptables -A ALLCNRULE -s 224.0.0.0/4 -j RETURN
iptables -A ALLCNRULE -s 255.255.255.255 -j RETURN
#可在此增加你的公网网段,避免调试ipset时出现自己无法访问的情况
 
iptables -A ALLCNRULE -m set --match-set allcn  src -j RETURN 
iptables -A ALLCNRULE -p tcp -j DROP 
 
 
}
 
if [ "$mmode" == "stop" ] ;then
flush_r
exit 0
fi
 
flush_r
sleep 1
mstart

设置后给其脚本添加权限

chmod a+x /root/allcn.sh

开始运行脚本

/root/allcn.sh

运行后国外 IP 无法访问网站


/root/allcn.sh stop

运行后国外IP恢复访问网站

总结

屏蔽国外ip对网站是有一定好处,如果你的网站是有一定国外用户,那就不要去屏蔽,一般情况,是不会有国外用户,国外的ip一般都是对你网站进行漏洞扫描等其他操作,屏蔽后对网站也有一定好处。