在 CentOS 系统中实现国外 IP 封锁的方法-HCRM博客

在当今互联网环境中,服务器安全是每个站长必须重视的课题，随着网络攻击和恶意流量的增加，许多管理员选择通过屏蔽特定地区的IP地址来减少风险，对于使用CentOS系统的用户来说，屏蔽国外IP是一种常见且有效的防护措施，本文将详细介绍如何在CentOS系统上实现这一目标，帮助您提升服务器的安全性和性能。

在 CentOS 系统中实现国外 IP 封锁的方法-图1

让我们了解为什么需要屏蔽国外IP,服务器经常面临来自全球的访问请求，其中一些可能来自恶意用户或僵尸网络，这些请求不仅消耗带宽资源，还可能导致数据泄露或服务中断，通过限制只允许国内IP访问，您可以显著降低这类威胁，同时优化服务器响应速度，这种方法尤其适用于面向特定地区用户的网站，例如中文内容平台或本地服务应用。

在CentOS系统中,屏蔽国外IP主要依赖于防火墙工具，如iptables或firewalld，这两种工具都是Linux环境下常用的防火墙解决方案，能够通过规则集控制网络流量，我将以iptables为例，展示具体操作步骤，因为它更灵活且兼容性强，在执行任何防火墙修改前，建议备份现有规则，以防误操作影响正常服务。

第一步是安装必要的工具,CentOS默认可能未安装所有依赖包，您需要确保系统已更新并安装iptables和ipset，ipset是一个高效的IP地址管理工具，可以配合iptables处理大量IP规则，打开终端，使用以下命令安装：

yum update -y
yum install iptables ipset -y

我们需要获取国家IP地址列表,由于IP地址分布随地域变化，您可以使用公开的GeoIP数据库，例如来自IPdeny.com的数据，这些数据库提供按国家分类的IP段，方便批量处理，以屏蔽所有非中国IP为例，您可以下载中国IP列表，然后设置规则允许这些IP，而拒绝其他所有访问。

使用wget命令下载中国IP段文件：

在 CentOS 系统中实现国外 IP 封锁的方法-图2

wget http://www.ipdeny.com/ipblocks/data/countries/cn.zone

这个文件包含了所有分配给中国的IP地址段,使用ipset创建一个集合来存储这些IP：

ipset create china hash:net
while read line; do ipset add china $line; done < cn.zone

这条命令会逐行读取下载的文件,并将每个IP段添加到名为“china”的集合中，完成后，您可以使用iptables设置规则，允许来自这个集合的IP访问，同时拒绝其他所有IP，针对HTTP和HTTPS服务（端口80和443），添加如下规则：

iptables -A INPUT -p tcp --dport 80 -m set --match-set china src -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -m set --match-set china src -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j DROP
iptables -A INPUT -p tcp --dport 443 -j DROP

这些规则表示：首先允许来自中国IP的HTTP和HTTPS流量，然后拒绝所有其他IP的访问，顺序很重要，因为iptables按顺序处理规则，如果您有其他服务如SSH，需要额外设置允许特定IP，以免自己被锁在外面，添加一条规则允许您的本地IP访问SSH端口：

iptables -A INPUT -p tcp --dport 22 -s 您的本地IP -j ACCEPT

为了确保规则在重启后持久化,您需要保存iptables配置，在CentOS 7及以上版本，可以使用以下命令：

service iptables save
systemctl enable iptables

或者,如果使用firewalld，您可以类似地通过富规则实现相同功能，但iptables在自定义方面更直接，无论选择哪种工具，测试规则是否生效至关重要，尝试从国外IP访问您的服务，看看是否被阻止，同时检查国内访问是否正常，如果遇到问题，查看系统日志（如/var/log/messages）可以帮助诊断错误。

在 CentOS 系统中实现国外 IP 封锁的方法-图3