使用ipset设置防火墙端口白名单，只让指定国家访问

方法
首先需要得到国家IP段，下载地址：http://www.ipdeny.com/ipblocks/。这里以我们国家为例。
1、安装ipset

1. #Debian/Ubuntu系统
   
2. apt-get -y install ipset
   
3. 
   
4. #CentOS系统
   
5. yum -y install ipset

复制代码

CentOS 7还需要关闭firewall防火墙：

1. systemctl stop firewalld.service
   
2. systemctl disable firewalld.service

复制代码

2、清空之前的规则

1. #防止设置不生效，建议清空下之前的防火墙规则
   
2. iptables -P INPUT ACCEPT
   
3. iptables -F

复制代码

3、创建新规则

1. #创建一个名为cnip的规则
   
2. ipset -N cnip hash:net
   
3. #下载国家IP段，这里以中国为例
   
4. wget -P . http://www.ipdeny.com/ipblocks/data/countries/cn.zone
   
5. #将IP段添加到cnip规则中
   
6. for i in $(cat /root/cn.zone ); do ipset -A cnip $i; done

复制代码

4、设置IP段白名单

1. #放行IP段
   
2. iptables -A INPUT -p tcp -m set --match-set cnip src -j ACCEPT
   
3. #关掉所有端口
   
4. iptables -P INPUT DROP

复制代码

这时候就只有指定国家的IP能访问服务器了。

如果你在国内，网站不允许被国内人访问，建议别关所有端口，这样你的SSH会上不去，我们可以只关闭80/443端口。

1. #关闭指定端口，比如80/443
   
2. iptables -A INPUT -p tcp --dport 80 -j DROP
   
3. iptables -A INPUT -p tcp --dport 443 -j DROP

复制代码

这时候其他国家的IP是无法访问你服务器的80/443端口，等于无法访问你的网站，其它端口还是可以访问的。

5、删除规则

1. #将参数里的-A改成-D就是删除规则了，如
   
2. iptables -D INPUT -p tcp -m set --match-set cnip src -j ACCEPT
   
3. iptables -D INPUT -p tcp --dport 443 -j DROP

复制代码

说明
设置防火墙后，可能有些服务器重启系统后会清空防火墙规则，导致设置的失效，所以我们设置规则后，需要使用iptables命令保存下，保存命令可能在很多系统中都不通用，这里就不说了，需要各位自行搜索解决了，有耐心的也可以每次重启的时候都重新设置一下防火墙。


不知道大家有没有更好的方法~

话说那个 直接使用Nginx免费防火墙里的禁止国外访问是否可行

秋天的落叶 发表于 2023-3-26 22:02
话说那个 直接使用Nginx免费防火墙里的禁止国外访问是否可行

宝塔的那个吗

crll 发表于 2023-3-26 22:33
宝塔的那个吗

对，那个不知道有没有什么作用

秋天的落叶 发表于 2023-3-27 07:22
对，那个不知道有没有什么作用

应该有作用的。