网站屏蔽和阻止特定地区和国家的IP访问设置方法-PHP代码/Nginx/WordPress设置

有不少的朋友搭建了外贸站的朋友想要限制自己的网站不让国内的IP访问,也有一些朋友网站存放的资源可能因为各种原因需要阻止特定的IP访问,还有一些朋友看到攻击源IP大部分来自国外,想要阻止国外的IP访问网站。

无论是出于什么原因,屏蔽和阻止特定地区和国家的IP访问都是我们日常建站中经常要用到的。如果你用的是PHP,比较简单的方法就是在PHP文件加入判断IP的代码,利用IP库进行比对,如果IP为限定访问范围内,则阻止其继续访问。

如果网站是Nginx,则可以直接使用Nginx-ngx_http_geoip_module模块,该模块可以精确到国家、省、市等一级的IP,并且全部由Nginx执行识别和阻止访问,所以相对于PHP来说比较省资源,但是Nginx编译起来比较费事。

如果网站是搭建在VPS或者独立服务器上,那么可以直接使用Linux防火墙,利用iptables规则来阻止特定国家和省份的IP访问。当是,Wordpress用户完全不用担心Nginx、iptables等配置的问题,因为Wordpress早就有了各种限制IP访问的插件了。

本篇文章就来分享一下网站屏蔽和阻止特定地区和国家的IP访问设置四种方法:PHP代码、Nginx模块、iptables防火墙和Wordpress插件。如果你在网站建设的过程总是被各种恶意攻击所困扰,可以试试以下方法:

  1. 五条关于使用免费VPS控制面板的安全建议-不让黑客有可趁之机
  2. WordPress开启Nginx fastcgi_cache缓存加速方法-Nginx配置实例
  3. 十个你可能不知道的CloudFlare免费CDN加速技巧-SSL\DDOS\Cache

一、PHP代码屏蔽特定IP

PHP代码比较简单,直接将以下代码丢到你的PHP文件中就可以实现阻止特定范围内IP访问网站了,根据IP库的精准度,可以准确到国家、省、市等一级的IP,代码示例如下(这段代码可以用来在BA期间使用):

  1. <?php
  2. /**
  3. *
  4. * test.php(屏蔽国家IP)
  5. *
  6. */
  7. $verification = '美国';//需要屏蔽国家的IP
  8. function get_client_ip() {
  9. $ip = $_SERVER['REMOTE_ADDR'];
  10. if (isset($_SERVER['HTTP_X_REAL_FORWARDED_FOR']) && preg_match('/^([0-9]{1,3}\.){3}[0-9]{1,3}$/', $_SERVER['HTTP_X_REAL_FORWARDED_FOR'])) {
  11. $ip = $_SERVER['HTTP_X_REAL_FORWARDED_FOR'];
  12. }
  13. elseif (isset($_SERVER['HTTP_X_FORWARDED_FOR']) && preg_match('/^([0-9]{1,3}\.){3}[0-9]{1,3}$/', $_SERVER['HTTP_X_FORWARDED_FOR'])) {
  14. $ip = $_SERVER['HTTP_X_FORWARDED_FOR'];
  15. }
  16. elseif (isset($_SERVER['HTTP_CLIENT_IP']) && preg_match('/^([0-9]{1,3}\.){3}[0-9]{1,3}$/', $_SERVER['HTTP_CLIENT_IP'])) {
  17. $ip = $_SERVER['HTTP_CLIENT_IP'];
  18. }
  19. return $ip;
  20. }
  21. $ip = get_client_ip();//获取访客IP
  22. $antecedents = $_SERVER['HTTP_REFERER'];//访客来路地址
  23. $result = file_get_contents("http://ip.taobao.com/service/getIpInfo.php?ip=".$ip);//IP数据库来自淘宝。
  24. $address = json_decode($result,true);
  25. //判断访客是否属于美国,是否来自百度,是否来自谷歌
  26. if($address['data']['country'] == $verification && strpos($antecedents, 'baidu') === false && strpos($antecedents, 'google') === false){
  27. sleep(10);//设置一个10秒等待。
  28. header('HTTP/1.1 503 Service Temporarily Unavailable');
  29. header('Status: 503 Service Temporarily Unavailable');
  30. header('Retry-After: 3600000');
  31. exit;
  32. }
  33. /****** 如果需要阻止某一个省份的IP访问,使用以下代码*********/
  34. <?php
  35. /**
  36. *
  37. * test.php(屏蔽地方IP)
  38. *
  39. */
  40. $verification = '江西省';//需要屏蔽省份的IP
  41. function get_client_ip() {
  42. $ip = $_SERVER['REMOTE_ADDR'];
  43. if (isset($_SERVER['HTTP_X_REAL_FORWARDED_FOR']) && preg_match('/^([0-9]{1,3}\.){3}[0-9]{1,3}$/', $_SERVER['HTTP_X_REAL_FORWARDED_FOR'])) {
  44. $ip = $_SERVER['HTTP_X_REAL_FORWARDED_FOR'];
  45. }
  46. elseif (isset($_SERVER['HTTP_X_FORWARDED_FOR']) && preg_match('/^([0-9]{1,3}\.){3}[0-9]{1,3}$/', $_SERVER['HTTP_X_FORWARDED_FOR'])) {
  47. $ip = $_SERVER['HTTP_X_FORWARDED_FOR'];
  48. }
  49. elseif (isset($_SERVER['HTTP_CLIENT_IP']) && preg_match('/^([0-9]{1,3}\.){3}[0-9]{1,3}$/', $_SERVER['HTTP_CLIENT_IP'])) {
  50. $ip = $_SERVER['HTTP_CLIENT_IP'];
  51. }
  52. return $ip;
  53. }
  54. $ip = get_client_ip();//获取访客IP
  55. $antecedents = $_SERVER['HTTP_REFERER'];//访客来路地址
  56. $result = file_get_contents("http://ip.taobao.com/service/getIpInfo.php?ip=".$ip);//IP数据库来自淘宝。
  57. $address = json_decode($result,true);
  58. //判断访客是否属于江西省,是否来自百度,是否来自谷歌
  59. if($address['data']['region'] == $verification && strpos($antecedents, 'baidu') === false && strpos($antecedents, 'google') === false){
  60. sleep(99999999);//设置一个999999秒的等待。
  61. Header("HTTP/1.1 204 No Content");
  62. exit;
  63. }

二、Nginx-ngx_http_geoip_module模块

IP库下载:

  1. https://dev.maxmind.com/geoip/legacy/geolite/

2.1 禁止特定国家IP访问

ngx_http_geoip_module模块可以让Nginx根据来访者的IP实现不同的需要,这里我们利用ngx_http_geoip_module模块来阻止特定IP地址访问网站。

首先是将ngx_http_geoip_module编译到Nginx中。如果你用的是宝塔BT面板,可以采用以下命令:

  1. #安装geoip库
  2. yum -y install epel-release
  3. yum -y install geoip-devel
  4. #先查看一下本机的Nginx配置情况
  5. [root@cs ~]# nginx -V
  6. nginx version: nginx/1.14.2
  7. built by gcc 4.8.5 20150623 (Red Hat 4.8.5-36) (GCC)
  8. built with OpenSSL 1.0.2l 25 May 2017
  9. TLS SNI support enabled
  10. configure arguments: --user=www --group=www --prefix=/www/server/nginx --with-openssl=/www/server/nginx/src/openssl --add-module=/www/server/nginx/src/ngx_devel_kit --add-module=/www/server/nginx/src/lua_nginx_module --add-module=/www/server/nginx/src/ngx_cache_purge --add-module=/www/server/nginx/src/nginx-sticky-module --add-module=/www/server/nginx/src/nginx-http-concat --with-http_stub_status_module --with-http_ssl_module --with-http_v2_module --with-http_image_filter_module --with-http_gzip_static_module --with-http_gunzip_module --with-stream --with-stream_ssl_module --with-ipv6 --with-http_sub_module --with-http_flv_module --with-http_addition_module --with-http_realip_module --with-http_mp4_module --with-ld-opt=-Wl,-E --with-pcre=pcre-8.40 --with-ld-opt=-ljemalloc
  11. #开始下载Nginx,这里用的是1.15.1,你也可以下载其它的版本
  12. wget http://nginx.org/download/nginx-1.15.1.tar.gz
  13. tar -xzvf nginx-1.15.1.tar.gz
  14. cd nginx-1.15.1
  15. #下面的命令只是在上面的Nginx -v得到的配置详情后加上了--with-http_geoip_module,目的是为了保持原来的配置不变同时又增加新的模块
  16. ./configure --user=www --group=www --prefix=/www/server/nginx --with-openssl=/www/server/nginx/src/openssl --add-module=/www/server/nginx/src/ngx_devel_kit --add-module=/www/server/nginx/src/lua_nginx_module --add-module=/www/server/nginx/src/ngx_cache_purge --add-module=/www/server/nginx/src/nginx-sticky-module --add-module=/www/server/nginx/src/nginx-http-concat --with-http_stub_status_module --with-http_ssl_module --with-http_v2_module --with-http_image_filter_module --with-http_gzip_static_module --with-http_gunzip_module --with-stream --with-stream_ssl_module --with-ipv6 --with-http_sub_module --with-http_flv_module --with-http_addition_module --with-http_realip_module --with-http_mp4_module --with-ld-opt=-Wl,-E --with-pcre=pcre-8.40 --with-ld-opt=-ljemalloc --with-http_geoip_module
  17. #只编译不安装
  18. make

如果你用的是LNMP脚本或者Oneinstack,可以参考这里:Oneinstack。启用Nginx-ngx_http_geoip_module模块。先停用Nginx。

然后替换新的Nginx并查看geoip模块是否已经加载。命令如下:

  1. mv /www/server/nginx/sbin/nginx /www/server/nginx/sbin/nginx-lala.im
  2. cp objs/nginx /www/server/nginx/sbin/nginx
  3. ldd /www/server/nginx/sbin/nginx

到你的宝塔面板点击Nginx,修改配置文件,加入以下代码:

  1. geoip_country /usr/share/GeoIP/GeoIP.dat;

操作如下图:

现在启动Nginx,你可以往网站的Nginx配置中添加规则了,例如你可以将特定国家的IP访问返回指定错误或者导向另一个页面和网站,代码示例:

  1. #返回403 502 404等错误
  2. location / {
  3. default_type text/html;
  4. charset utf-8;
  5. if ($geoip_country_code = CN) {
  6. return 403;
  7. }
  8. }
  9. #导向另一个网站目录
  10. location / {
  11. default_type text/html;
  12. charset utf-8;
  13. if ($geoip_country_code = CN) {
  14. root /home/www/wzfou.com-cn/;
  15. }
  16. }

这是添加网站配置。

最后效果如下:

2.2 仅允许指定国家IP访问

方法和上面是一样的,先在Nginx主配置中引入IP库,然后在在网站的Nginx配置中加入阻止任何国家IP但允许指定国家IP的代码,示例如下 :

  1. # 引入IP库
  2. geoip_country /usr/share/GeoIP/GeoIP.dat;
  3. geoip_city /usr/share/GeoIP/GeoLiteCity.dat;
  4. map $geoip_country_code $allowed_country {
  5. default no;
  6. CN yes;
  7. }
  8. # 在配置中阻止IP
  9. if ($allowed_country = no) {
  10. return 403;
  11. }

三、iptables 防火墙

先熟悉一下iptables用法和ipset :

1、iptables 包含几个表,每个表由链组成。默认的是 filter 表,最常用的也是 filter 表,另一个比较常用的是 nat 表。一般封 IP 就是在 filter 表的 INPUT 链添加规则。

2、在进行规则匹配时,是从规则列表中从头到尾一条一条进行匹配。

3、ipset 提供了把这个 O(n) 的操作变成 O(1) 的方法:就是把要处理的 IP 放进一个集合,对这个集合设置一条 iptables 规则。像 iptable 一样,IP sets 是 Linux 内核中的东西,ipset 这个命令是对它进行操作的一个工具。

iptables只允许指定ip访问本机的指定端口,命令如下:

  1. 1、在tcp协议中,禁止所有的ip访问本机的3306端口。
  2. iptables -I INPUT -p tcp –dport 3306 -j DROP
  3. 2、允许123.456.789访问本机的3306端口
  4. iptables -I INPUT -s 123.456.789 -p tcp –dport 3306 -j ACCEPT
  5. 以此类推…………………………………
  6. 封掉一个IP段:
  7. iptables -I INPUT -s 121.0.0.0/8 -j DROP
  8. 以上命令的顺序不能错
  9. 然后保存iptables
  10. # service iptables save
  11. 重启防火墙
  12. #service iptables restart

iptables规则删除、清空、关闭以及保存方法:

  1. #CentOS 7请停止firewalld并安装iptables-services
  2. systemctl stop firewalld
  3. systemctl mask firewalld
  4. #安装 iptables-services
  5. yum install iptables-services
  6. ################
  7. 保存 iptables 规则
  8. service iptables save
  9. 重启 iptables
  10. service iptables restart
  11. #################
  12. 执行清除命令 iptables -F时可能会断开与服务器的连接,如果想清空的话,先执行
  13. /sbin/iptables -P INPUT ACCEPT
  14. 然后执行
  15. /sbin/iptables -F
  16. 如果关闭防火墙,执行
  17. /etc/init.d/iptables stop
  18. 或者是 services iptables stop
  19. #######################
  20. iptables 规则若重启后消失,请用以下方法
  21. 步骤1:备份
  22. iptables-save > /etc/iptables.up.rules.bak
  23. 步骤2:删除规则
  24. vim /etc/sysconfig/iptables
  25. 或 vim /etc/iptables.up.rules
  26. 手动删除即可。
  27. 步骤3:导入新规则
  28. iptables-restore < /etc/sysconfig/iptables
  29. 最后,重启VPS就可以生效了。

3.1 一键屏蔽指定国家IP访问

  1. https://github.com/iiiiiii1/Block-IPs-from-countries

原理是下载指定国家的IP段,然后将IP段添加到iptables规则当中,直接执行以下命令:

  1. wget https://raw.githubusercontent.com/iiiiiii1/Block-IPs-from-countries/master/block-ips.sh
  2. chmod +x block-ips.sh
  3. ./block-ips.sh

然后会要你选择是封禁IP还是解封IP。

选择封禁IP后会让你输入国家代码,请到这里查看:http://www.ipdeny.com/ipblocks,例如美国就是输入us,确定好完成对整个US的IP封禁。

如果想要解封的话,再次执行命令,然后选择2即可。

3.2 一键仅允许指定国家IP访问

上面我们实现了一键屏蔽特定国家的IP访问,但是有不少人希望让自己的网站仅让某一个国家的IP访问,其它的则禁止访问,这时我们就可以使用以下命令了:

  1. wget https://www.ucblog.net/wzfou/block-any.sh
  2. chmod +x block-ips.sh
  3. ./block-ips.sh

上面的代码仅允许国内的IP访问,并会在:/etc/rc.d/rc.local写入规则,每次系统重启后都会重新导入iptables规则,如果你调整了iptables规则,需要编辑:/etc/rc.d/rc.local删除相应的启动自运行代码。block-any.sh代码如下:

  1. #! /bin/bash
  2. #判断是否具有root权限
  3. root_need() {
  4. if [[ $EUID -ne 0 ]]; then
  5. echo "Error:This script must be run as root!" 1>&2
  6. exit 1
  7. fi
  8. }
  9. #检查系统分支及版本(主要是:分支->>版本>>决定命令格式)
  10. check_release() {
  11. if uname -a | grep el7 ; then
  12. release="centos7"
  13. elif uname -a | grep el6 ; then
  14. release="centos6"
  15. yum install ipset -y
  16. elif cat /etc/issue |grep -i ubuntu ; then
  17. release="ubuntu"
  18. apt install ipset -y
  19. fi
  20. }
  21. #安装必要的软件(wget),并下载中国IP网段文件(最后将局域网地址也放进去)
  22. get_china_ip() {
  23. #安装必要的软件(wget)
  24. rpm --help >/dev/null 2>&1 && rpm -qa |grep wget >/dev/null 2>&1 ||yum install -y wget ipset >/dev/null 2>&1
  25. dpkg --help >/dev/null 2>&1 && dpkg -l |grep wget >/dev/null 2>&1 ||apt-get install wget ipset -y >/dev/null 2>&1
  26. #该文件由IPIP维护更新,大约一月一次更新(也可以用我放在国内的存储的版本,2018-9-8日版)
  27. [ -f china_ip_list.txt ] && mv china_ip_list.txt china_ip_list.txt.old
  28. wget https://github.com/17mon/china_ip_list/blob/master/china_ip_list.txt
  29. cat china_ip_list.txt |grep 'js-file-line">' |awk -F'js-file-line">' '{print $2}' |awk -F'<' '{print $1}' >> china_ip.txt
  30. rm -rf china_ip_list.txt
  31. #wget https://qiniu.wsfnk.com/china_ip.txt
  32. #放行局域网地址
  33. echo "192.168.0.0/18" >> china_ip.txt
  34. echo "10.0.0.0/8" >> china_ip.txt
  35. echo "172.16.0.0/12" >> china_ip.txt
  36. }
  37. #只允许国内IP访问
  38. ipset_only_china() {
  39. echo "ipset create whitelist-china hash:net hashsize 10000 maxelem 1000000" > /etc/ip-black.sh
  40. for i in $( cat china_ip.txt )
  41. do
  42. echo "ipset add whitelist-china $i" >> /etc/ip-black.sh
  43. done
  44. echo "iptables -I INPUT -m set --match-set whitelist-china src -j ACCEPT" >> /etc/ip-black.sh
  45. #拒绝非国内和内网地址发起的tcp连接请求(tcp syn 包)(注意,只是屏蔽了入向的tcp syn包,该主机主动访问国外资源不用影响)
  46. echo "iptables -A INPUT -p tcp --syn -m connlimit --connlimit-above 0 -j DROP" >> /etc/ip-black.sh
  47. #拒绝非国内和内网发起的ping探测(不影响本机ping外部主机)
  48. echo "iptables -A INPUT -p icmp -m icmp --icmp-type 8 -j DROP" >> /etc/ip-black.sh
  49. #echo "iptables -A INPUT -j DROP" >> /etc/ip-black.sh
  50. rm -rf china_ip.txt
  51. }
  52. run_setup() {
  53. chmod +x /etc/rc.local
  54. sh /etc/ip-black.sh
  55. rm -rf /etc/ip-black.sh
  56. #下面这句主要是兼容centos6不能使用"-f"参数
  57. ipset save whitelist-china -f /etc/ipset.conf || ipset save whitelist-china > /etc/ipset.conf
  58. [ $release = centos7 ] && echo "ipset restore -f /etc/ipset.conf" >> /etc/rc.local
  59. [ $release = centos6 ] && echo "ipset restore < /etc/ipset.conf" >> /etc/rc.local
  60. echo "iptables -I INPUT -m set --match-set whitelist-china src -j ACCEPT" >> /etc/rc.local
  61. echo "iptables -A INPUT -p tcp --syn -m connlimit --connlimit-above 0 -j DROP" >> /etc/rc.local
  62. echo "iptables -A INPUT -p icmp -m icmp --icmp-type 8 -j DROP" >> /etc/rc.local
  63. #echo "iptables -A INPUT -j DROP" >> /etc/rc.local
  64. }
  65. main() {
  66. check_release
  67. get_china_ip
  68. ipset_only_china
  69. case "$release" in
  70. centos6)
  71. run_setup
  72. ;;
  73. centos7)
  74. chmod +x /etc/rc.d/rc.local
  75. run_setup
  76. ;;
  77. ubuntu)
  78. sed -i '/exit 0/d' /etc/rc.local
  79. run_setup
  80. echo "exit 0" >> /etc/rc.local
  81. ;;
  82. esac
  83. }
  84. main

如果你要排除一些IP,允许这些IP作为例外继续访问,可以使用iptables -I命令新增iptables规则,或者手动添加iptables规则,注意要将规则放在最上面,因为iptables执行顺序是从上往下。

3.3 手动设置仅允许特定国家IP访问

手动设置和上面的一键设置方法是一样的,按照下面的命令一条一条地执行就可以了。

  1. 1、安装ipset
  2. #Debian/Ubuntu系统
  3. apt-get -y install ipset
  4. #CentOS系统
  5. yum -y install ipset
  6. CentOS 7还需要关闭firewall防火墙:
  7. systemctl stop firewalld.service
  8. systemctl disable firewalld.service
  9. 2、清空之前的规则
  10. #防止设置不生效,建议清空下之前的防火墙规则
  11. iptables -P INPUT ACCEPT
  12. iptables -F
  13. 3、创建新规则
  14. #创建一个名为cnip的规则
  15. ipset -N cnip hash:net
  16. #下载国家IP段,这里以中国为例,其它国家IP下载参考:http://www.ipdeny.com/ipblocks/
  17. wget -P . http://www.ipdeny.com/ipblocks/data/countries/cn.zone
  18. #将IP段添加到cnip规则中
  19. for i in $(cat /root/cn.zone ); do ipset -A cnip $i; done
  20. 4、设置IP段白名单
  21. #放行IP段
  22. iptables -A INPUT -p tcp -m set --match-set cnip src -j ACCEPT
  23. #关掉所有端口
  24. iptables -P INPUT DROP
  25. 这时候就只有指定国家的IP能访问服务器了。
  26. #如果你在国内,网站不允许被国内人访问,建议别关所有端口,这样你的S-S-H会上不去,我们可以只关闭80/443端口。
  27. #关闭指定端口,比如80/443
  28. iptables -A INPUT -p tcp --dport 80 -j DROP
  29. iptables -A INPUT -p tcp --dport 443 -j DROP
  30. 这时候其他国家的IP是无法访问你服务器的80/443端口,等于无法访问你的网站,其它端口还是可以访问的。
  31. 5、删除规则
  32. #将参数里的-A改成-D就是删除规则了,如
  33. iptables -D INPUT -p tcp -m set --match-set cnip src -j ACCEPT
  34. iptables -D INPUT -p tcp --dport 443 -j DROP

四、Wordpress屏蔽特定IP

WordPress插件

  1. https://wordpress.org/plugins/wordfence/
  2. https://wordpress.org/plugins/all-in-one-wp-security-and-firewall/
  3. https://wordpress.org/plugins/ip-geo-block/

上面三个Wordpress安全插件都带有屏蔽IP访问的设置,可以根据IP的来源、国家、范围和域名等进行屏蔽。(点击放大)

IP Geo Block稍微专业一些,除了可以屏蔽特定的IP地址,还可以对不同的IP地址访问不同的页面进行屏蔽或者阻止,功能非常强大。(点击放大)

五、总结

网站屏蔽特定国家IP最简单的方法就是本文介绍的PHP代码,引用了淘宝IP库,准确度非常高,而且还可以精确到省、市,自己可以根据需要来调整。不足的地方是不支持Https以及仅限PHP运行。

实际上常用的应该是iptables,直接以Linux防火墙的方式来阻止IP访问,不消耗资源,阻止得干净彻底。Nginx的Geo IP模块应用范围比较广泛,结合Nginx你可以实现对不同的IP用户展现不同的内容。

  • 微信扫码捐赠
  • 微信扫码捐赠
  • 如果帮到了您,您可以赞助我一下!
  • 支付宝扫码捐赠
  • 支付宝扫码捐赠
  • 不论多少,我都向您表示特别的感谢!

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: