境外IP天天扫你网站?3步彻底封杀,还不用编译Nginx!
登录
标签搜索
侧边栏壁纸
博主昵称
微醺

  • 累计撰写 264 篇文章
  • 累计收到 11 条评论
网络技术 Nginx

境外IP天天扫你网站?3步彻底封杀,还不用编译Nginx!

微醺
微醺
2025-11-20 / 0 评论 / 32 阅读 / 正在检测是否收录...
温馨提示:
本文最后更新于2025年11月20日,已超过76天没有更新,若内容或图片失效,请留言反馈。

你的服务器是否每天被 /admin、/wp-login.php、/.env 扫描刷屏?
这些攻击 90% 来自境外。如果你的业务只服务中国大陆用户,那完全没必要开放全球访问!
更重要的是:你不需要编译 Nginx,不需要 MaxMind 账号,甚至不用装额外模块
只需利用 亚太网络信息中心(APNIC)公开的官方 IP 数据,配合 Nginx 原生功能,3步实现精准拦截!

为什么推荐 APNIC 方案?

APNIC 官方方案

✅ 完全公开免费
✅ 原生支持,不需要重新编译Nginx
✅ 亚太官方机构发布(数据权威性)
✅ 所有 Linux + 任意 Nginx 版本

实战:3 步实现“仅限中国大陆访问”

📌 本方案适用于:任何 Linux 系统 + 任何来源的 Nginx(官方源、宝塔、LNMP、手动编译等)

第一步:获取中国大陆 IP 段(来自 APNIC 官方)

APNIC 每天更新各国 IP 分配清单,地址永久免费开放:http://ftp.apnic.net/apnic/stats/apnic/delegated-apnic-latest

# 下载到文件
wget http://ftp.apnic.net/apnic/stats/apnic/delegated-apnic-latest
# 直接输出到终端
curl -sSL https://ftp.apnic.net/apnic/stats/apnic/delegated-apnic-latest

创建自动转换脚本(保存为 /usr/local/bin/gen-cn-allow.sh):

mi74cac7.png

#!/bin/bash
# 从 APNIC 官方数据生成 Nginx allow 规则
# 适用于任意 Linux 系统(CentOS/Ubuntu/Debian/Alma/Rocky 等)

OUTPUT_DIR="/etc/nginx/conf.d"
mkdir -p "$OUTPUT_DIR"

echo "正在下载 APNIC 最新数据..."
wget -qO- http://ftp.apnic.net/apnic/stats/apnic/delegated-apnic-latest | \
awk -F'|' '
  $2 == "CN" && $3 == "ipv4" {
    prefix = $4;
    len = 32 - log($5) / log(2);
    print "allow " prefix "/" len ";";
  }
  $2 == "CN" && $3 == "ipv6" {
    print "allow " $4 "/" $5 ";";
  }
' > /tmp/cn_allow.list

# 分离 IPv4 和 IPv6(避免混合导致 Nginx 报错)
grep -E 'allow [0-9]+\.' /tmp/cn_allow.list > "$OUTPUT_DIR/china-ipv4.conf"
grep -E 'allow [0-9a-fA-F:]+' /tmp/cn_allow.list > "$OUTPUT_DIR/china-ipv6.conf"

# 添加注释头
sed -i "1i# Auto-generated from APNIC — $(date)" "$OUTPUT_DIR/china-ipv4.conf"
sed -i "1i# Auto-generated from APNIC — $(date)" "$OUTPUT_DIR/china-ipv6.conf"

rm -f /tmp/cn_allow.list
echo "✅ 中国 IP 白名单已生成:"
echo "   IPv4: $OUTPUT_DIR/china-ipv4.conf"
echo "   IPv6: $OUTPUT_DIR/china-ipv6.conf"

赋权并运行:

chmod +x /usr/local/bin/gen-cn-allow.sh
sudo /usr/local/bin/gen-cn-allow.sh

🕒 建议每日自动更新(防止新 IP 段遗漏):

echo "0 3 * * * root /usr/local/bin/gen-cn-allow.sh >/dev/null 2>&1" | sudo tee /etc/cron.d/update-cn-ip

第二步:配置 Nginx 仅放行中国 IP

编辑你的站点配置文件(如 /etc/nginx/conf.d/your-site.conf):

server {
    listen 80;
    listen [::]:80;
    server_name your-domain.com;

    # 引入中国 IP 白名单(顺序很重要!)
    include /etc/nginx/conf.d/china-ipv4.conf;
    include /etc/nginx/conf.d/china-ipv6.conf;

    # 可选:放行本地回环(避免自己被拦)
    allow 127.0.0.1;
    allow ::1;

    # 拒绝所有未匹配的请求
    deny all;

    location / {
        root /var/www/html;
        index index.html;
        # 你的其他配置...
    }
}

⚠️ 关键规则:Nginx 按顺序匹配 allow/deny,必须先写 allow,再写 deny all!

第三步:重载生效 & 验证

# 检查语法
nginx -t
# 重载配置(平滑生效,不影响在线用户)
nginx -s reload
# 或 systemctl reload nginx

验证方法:

国内手机 4G 访问 → 应正常打开;
使用境外代理或 VPS 访问 → 应返回 403 Forbidden;
查看日志:tail -f /var/log/nginx/access.log | grep '403'

⚠️ 重要注意事项

  1. CDN 用户请特别注意!
    如果你使用了 Cloudflare、阿里云 CDN、腾讯云 CDN 等:
    用户真实 IP 被隐藏,Nginx 看到的是 CDN 节点 IP(多为境外);直接启用此规则会导致 所有用户被拦截!

✅ 解决方案:

  1. CDN 后台开启 “回源携带真实IP”(如 Cloudflare 的 CF-Connecting-IP);或改用 CDN 自带的地域封禁功能(更简单可靠)。
  2. IPv6 支持按需启用
    若服务器未启用IPv6,可删除listen [::]:80;和china-ipv6.conf引用。
  3. 性能影响极小
    中国大陆IP段约6000+条,Nginx 使用高效前缀匹配,实测无明显延迟。

写在最后:

屏蔽境外访问,不等于“技术复杂”。

用官方数据 + Nginx 原生能力,就能构建一道高效、透明、低成本的“数字国境线”。

你试过哪种防境外攻击的方法?有没有因为 CDN 导致误拦的经历?欢迎评论区分享!

0
暂无标签
版权属于: 微醺
本文链接: https://blog.lysdad.cn/archives/1263/

评论 (0)

取消