• 还有半个月就走了…挺好的.
  • 无聊啊,最近也没啥更新的.
  • 妈的,写之前不说,写完了了你说不行.中途我还问你你说对.你真是中国第一Monkey
  • 沃妮马,过的真快!转眼又上班了.等待十月一.
  • 还有1天就是端午节了.过的真快, 在这个公司工作半年啦..
  • 咦~哪个弟弟CC我呢?
  • 简单,简单.我提个思路.
  • 不算今天还有2天就放假了.
  • 一切随缘,随波逐流.
  • 我的天啊,手欠把写了两天的项目删除了,回收站都没有!真是一干二净!心态爆炸!

网站屏蔽和阻止特定地区和国家的IP访问设置方法-PHP代码/Nginx/WordPress设置

Linux KIENG 7个月前 (03-30) 97742次浏览 已收录 4个吐槽 扫描二维码

网站屏蔽和阻止特定地区和国家的 IP 访问设置方法-PHP 代码/Nginx/WordPress 设置
有不少的朋友搭建了外贸站的朋友想要限制自己的网站不让国内的 IP 访问,也有一些朋友网站存放的资源可能因为各种原因需要阻止特定的 IP 访问,还有一些朋友看到攻击源 IP 大部分来自国外,想要阻止国外的 IP 访问网站。

无论是出于什么原因,屏蔽和阻止特定地区和国家的 IP 访问都是我们日常建站中经常要用到的。如果你用的是 PHP,比较简单的方法就是在 PHP 文件加入判断 IP 的代码,利用 IP 库进行比对,如果 IP 为限定访问范围内,则阻止其继续访问。

如果网站是 Nginx,则可以直接使用 Nginx-ngx_http_geoip_module 模块,该模块可以精确到国家、省、市等一级的 IP,并且全部由 Nginx 执行识别和阻止访问,所以相对于 PHP 来说比较省资源,但是 Nginx 编译起来比较费事。

如果网站是搭建在 VPS 或者独立服务器上,那么可以直接使用Linux防火墙,利用 iptables 规则来阻止特定国家和省份的 IP 访问。当是,Wordpress 用户完全不用担心 Nginx、iptables 等配置的问题,因为 WordPress 早就有了各种限制 IP 访问的插件了。

本篇文章就来分享一下网站屏蔽和阻止特定地区和国家的 IP 访问设置四种方法:PHP 代码、Nginx 模块、iptables 防火墙和 WordPress 插件。

一、PHP 代码屏蔽特定 IP

PHP 代码比较简单,直接将以下代码丢到你的 PHP 文件中就可以实现阻止特定范围内 IP 访问网站了,根据 IP 库的精准度,可以准确到国家、省、市等一级的 IP,代码示例如下(这段代码可以用来在 BA 期间使用):

<?php
/**
 *
 * test.php(屏蔽国家 IP)
 *
 */
$verification = '美国';//需要屏蔽国家的 IP
function get_client_ip() { 
               $ip = $_SERVER['REMOTE_ADDR'];     
         if (isset($_SERVER['HTTP_X_REAL_FORWARDED_FOR']) && preg_match('/^([0-9]{1,3}\.){3}[0-9]{1,3}$/', $_SERVER['HTTP_X_REAL_FORWARDED_FOR'])) {            
         $ip = $_SERVER['HTTP_X_REAL_FORWARDED_FOR'];       
         }          
         elseif (isset($_SERVER['HTTP_X_FORWARDED_FOR']) && preg_match('/^([0-9]{1,3}\.){3}[0-9]{1,3}$/', $_SERVER['HTTP_X_FORWARDED_FOR'])) {             
         $ip = $_SERVER['HTTP_X_FORWARDED_FOR'];       
         }          
         elseif (isset($_SERVER['HTTP_CLIENT_IP']) && preg_match('/^([0-9]{1,3}\.){3}[0-9]{1,3}$/', $_SERVER['HTTP_CLIENT_IP'])) {           
         $ip = $_SERVER['HTTP_CLIENT_IP'];       
         }          
         return $ip;    
         }
$ip = get_client_ip();//获取访客 IP
$antecedents = $_SERVER['HTTP_REFERER'];//访客来路地址
$result = file_get_contents("http://ip.taobao.com/service/getIpInfo.php?ip=".$ip);//IP 数据库来自淘宝。
$address = json_decode($result,true);
//判断访客是否属于美国,是否来自百度,是否来自谷歌
if($address['data']['country'] == $verification && strpos($antecedents, 'baidu') === false && strpos($antecedents, 'google') === false){
        sleep(10);//设置一个 10 秒等待。
        header('HTTP/1.1 503 Service Temporarily Unavailable');
        header('Status: 503 Service Temporarily Unavailable');
        header('Retry-After: 3600000');
        exit;
}
/****** 如果需要阻止某一个省份的 IP 访问,使用以下代码*********/
<?php
/**
 *
 * test.php(屏蔽地方 IP)
 *
 */
$verification = '江西省';//需要屏蔽省份的 IP
function get_client_ip() { 
               $ip = $_SERVER['REMOTE_ADDR'];     
         if (isset($_SERVER['HTTP_X_REAL_FORWARDED_FOR']) && preg_match('/^([0-9]{1,3}\.){3}[0-9]{1,3}$/', $_SERVER['HTTP_X_REAL_FORWARDED_FOR'])) {            
         $ip = $_SERVER['HTTP_X_REAL_FORWARDED_FOR'];       
         }          
         elseif (isset($_SERVER['HTTP_X_FORWARDED_FOR']) && preg_match('/^([0-9]{1,3}\.){3}[0-9]{1,3}$/', $_SERVER['HTTP_X_FORWARDED_FOR'])) {             
         $ip = $_SERVER['HTTP_X_FORWARDED_FOR'];       
         }          
         elseif (isset($_SERVER['HTTP_CLIENT_IP']) && preg_match('/^([0-9]{1,3}\.){3}[0-9]{1,3}$/', $_SERVER['HTTP_CLIENT_IP'])) {           
         $ip = $_SERVER['HTTP_CLIENT_IP'];       
         }          
         return $ip;    
         }
$ip = get_client_ip();//获取访客 IP
$antecedents = $_SERVER['HTTP_REFERER'];//访客来路地址
$result = file_get_contents("http://ip.taobao.com/service/getIpInfo.php?ip=".$ip);//IP 数据库来自淘宝。
$address = json_decode($result,true);
//判断访客是否属于江西省,是否来自百度,是否来自谷歌
if($address['data']['region'] == $verification && strpos($antecedents, 'baidu') === false && strpos($antecedents, 'google') === false){
  sleep(99999999);//设置一个 999999 秒的等待。
  Header("HTTP/1.1 204 No Content");
  exit;
}

二、Nginx-ngx_http_geoip_module 模块

IP 库下载:

https://dev.maxmind.com/geoip/legacy/geolite/

2.1 禁止特定国家 IP 访问

ngx_http_geoip_module 模块可以让 Nginx 根据来访者的 IP 实现不同的需要,这里我们利用 ngx_http_geoip_module 模块来阻止特定 IP 地址访问网站。

首先是将 ngx_http_geoip_module 编译到 Nginx 中。如果你用的是宝塔 BT 面板,可以采用以下命令:

#安装 geoip 库
yum -y install epel-release
yum -y install geoip-devel
#先查看一下本机的 Nginx 配置情况
[root@cs ~]# nginx -V
nginx version: nginx/1.14.2
built by gcc 4.8.5 20150623 (Red Hat 4.8.5-36) (GCC) 
built with OpenSSL 1.0.2l  25 May 2017
TLS SNI support enabled
configure arguments: --user=www --group=www --prefix=/www/server/nginx --with-openssl=/www/server/nginx/src/openssl --add-module=/www/server/nginx/src/ngx_devel_kit --add-module=/www/server/nginx/src/lua_nginx_module --add-module=/www/server/nginx/src/ngx_cache_purge --add-module=/www/server/nginx/src/nginx-sticky-module --add-module=/www/server/nginx/src/nginx-http-concat --with-http_stub_status_module --with-http_ssl_module --with-http_v2_module --with-http_image_filter_module --with-http_gzip_static_module --with-http_gunzip_module --with-stream --with-stream_ssl_module --with-ipv6 --with-http_sub_module --with-http_flv_module --with-http_addition_module --with-http_realip_module --with-http_mp4_module --with-ld-opt=-Wl,-E --with-pcre=pcre-8.40 --with-ld-opt=-ljemalloc
#开始下载 Nginx,这里用的是 1.15.1,你也可以下载其它的版本
wget http://nginx.org/download/nginx-1.15.1.tar.gz
tar -xzvf nginx-1.15.1.tar.gz
cd nginx-1.15.1
#下面的命令只是在上面的 Nginx -v 得到的配置详情后加上了--with-http_geoip_module,目的是为了保持原来的配置不变同时又增加新的模块
./configure --user=www --group=www --prefix=/www/server/nginx --with-openssl=/www/server/nginx/src/openssl --add-module=/www/server/nginx/src/ngx_devel_kit --add-module=/www/server/nginx/src/lua_nginx_module --add-module=/www/server/nginx/src/ngx_cache_purge --add-module=/www/server/nginx/src/nginx-sticky-module --add-module=/www/server/nginx/src/nginx-http-concat --with-http_stub_status_module --with-http_ssl_module --with-http_v2_module --with-http_image_filter_module --with-http_gzip_static_module --with-http_gunzip_module --with-stream --with-stream_ssl_module --with-ipv6 --with-http_sub_module --with-http_flv_module --with-http_addition_module --with-http_realip_module --with-http_mp4_module --with-ld-opt=-Wl,-E --with-pcre=pcre-8.40 --with-ld-opt=-ljemalloc --with-http_geoip_module
#只编译不安装
make

如果你用的是 LNMP 脚本或者 Oneinstack,可以参考这里:Oneinstack。启用 Nginx-ngx_http_geoip_module 模块。先停用 Nginx。
网站屏蔽和阻止特定地区和国家的 IP 访问设置方法-PHP 代码/Nginx/WordPress 设置
然后替换新的 Nginx 并查看 geoip 模块是否已经加载。命令如下:

mv /www/server/nginx/sbin/nginx /www/server/nginx/sbin/nginx-lala.im
cp objs/nginx /www/server/nginx/sbin/nginx
ldd /www/server/nginx/sbin/nginx

网站屏蔽和阻止特定地区和国家的 IP 访问设置方法-PHP 代码/Nginx/WordPress 设置
到你的宝塔面板点击 Nginx,修改配置文件,加入以下代码:
geoip_country /usr/share/GeoIP/GeoIP.dat;
网站屏蔽和阻止特定地区和国家的 IP 访问设置方法-PHP 代码/Nginx/WordPress 设置
现在启动 Nginx,你可以往网站的 Nginx 配置中添加规则了,例如你可以将特定国家的 IP 访问返回指定错误或者导向另一个页面和网站,代码示例:

#返回 403 502 404 等错误
location / {
default_type text/html;
charset utf-8;
if ($geoip_country_code = CN) {
return 403;
}
}
#导向另一个网站目录
location / {
default_type text/html;
charset utf-8;
if ($geoip_country_code = CN) {
root /home/www/wzfou.com-cn/;
}
}

这是添加网站配置。
网站屏蔽和阻止特定地区和国家的 IP 访问设置方法-PHP 代码/Nginx/WordPress 设置
最后效果如下:
网站屏蔽和阻止特定地区和国家的 IP 访问设置方法-PHP 代码/Nginx/WordPress 设置

2.2 仅允许指定国家 IP 访问

方法和上面是一样的,先在 Nginx 主配置中引入 IP 库,然后在在网站的 Nginx 配置中加入阻止任何国家 IP 但允许指定国家 IP 的代码,示例如下 :

# 引入 IP 库
     
  geoip_country /usr/share/GeoIP/GeoIP.dat;
  geoip_city /usr/share/GeoIP/GeoLiteCity.dat;
 map $geoip_country_code $allowed_country {
                default no;
                CN yes;
        }
    
# 在配置中阻止 IP
        if ($allowed_country = no) {
                return 403;
        }

三、iptables 防火墙

先熟悉一下 iptables 用法和 ipset :

1、iptables 包含几个表,每个表由链组成。默认的是 filter 表,最常用的也是 filter 表,另一个比较常用的是 nat 表。一般封 IP 就是在 filter 表的 INPUT 链添加规则。

2、在进行规则匹配时,是从规则列表中从头到尾一条一条进行匹配。

3、ipset 提供了把这个 O(n) 的操作变成 O(1) 的方法:就是把要处理的 IP 放进一个集合,对这个集合设置一条 iptables 规则。像 iptable 一样,IP sets 是 Linux 内核中的东西,ipset 这个命令是对它进行操作的一个工具。

iptables 只允许指定 ip 访问本机的指定端口,命令如下:

1、在 tcp 协议中,禁止所有的 ip 访问本机的 3306 端口。
iptables -I INPUT -p tcp –dport 3306 -j DROP
2、允许 123.456.789 访问本机的 3306 端口
iptables -I INPUT -s 123.456.789 -p tcp –dport 3306 -j ACCEPT
以此类推…………………………………
封掉一个 IP 段:
iptables -I INPUT -s 121.0.0.0/8 -j DROP
以上命令的顺序不能错
然后保存 iptables
# service iptables save
重启防火墙
#service iptables restart

iptables 规则删除、清空、关闭以及保存方法:

#CentOS 7 请停止 firewalld 并安装 iptables-services
systemctl stop firewalld
systemctl mask firewalld
#安装 iptables-services
yum install iptables-services
################
保存 iptables 规则
service iptables save
重启 iptables
service iptables restart
#################
执行清除命令 iptables -F 时可能会断开与服务器的连接,如果想清空的话,先执行
/sbin/iptables -P INPUT ACCEPT
然后执行
/sbin/iptables -F
如果关闭防火墙,执行 
/etc/init.d/iptables stop   
或者是 services iptables stop  
#######################
iptables 规则若重启后消失,请用以下方法
步骤 1:备份
iptables-save > /etc/iptables.up.rules.bak
步骤 2:删除规则
vim /etc/sysconfig/iptables
或 vim /etc/iptables.up.rules
手动删除即可。
步骤 3:导入新规则
iptables-restore < /etc/sysconfig/iptables
最后,重启 VPS 就可以生效了。

3.1 一键屏蔽指定国家 IP 访问

https://github.com/iiiiiii1/Block-IPs-from-countries

原理是下载指定国家的 IP 段,然后将 IP 段添加到 iptables 规则当中,直接执行以下命令:

wget https://raw.githubusercontent.com/iiiiiii1/Block-IPs-from-countries/master/block-ips.sh
chmod +x block-ips.sh
./block-ips.sh

然后会要你选择是封禁 IP 还是解封 IP。

网站屏蔽和阻止特定地区和国家的 IP 访问设置方法-PHP 代码/Nginx/WordPress 设置

选择封禁 IP 后会让你输入国家代码,请到这里查看:http://www.ipdeny.com/ipblocks,例如美国就是输入 us,确定好完成对整个 US 的 IP 封禁。

网站屏蔽和阻止特定地区和国家的 IP 访问设置方法-PHP 代码/Nginx/WordPress 设置
如果想要解封的话,再次执行命令,然后选择 2 即可。

网站屏蔽和阻止特定地区和国家的 IP 访问设置方法-PHP 代码/Nginx/WordPress 设置

3.2 一键仅允许指定国家 IP 访问

上面我们实现了一键屏蔽特定国家的 IP 访问,但是有不少人希望让自己的网站仅让某一个国家的 IP 访问,其它的则禁止访问,这时我们就可以使用以下命令了:

wget https://www.ucblog.net/wzfou/block-any.sh
chmod +x block-ips.sh
./block-ips.sh

上面的代码仅允许国内的 IP 访问,并会在:/etc/rc.d/rc.local 写入规则,每次系统重启后都会重新导入 iptables 规则,如果你调整了 iptables 规则,需要编辑:/etc/rc.d/rc.local 删除相应的启动自运行代码。block-any.sh 代码如下:

#! /bin/bash
#判断是否具有 root 权限
root_need() {
    if [[ $EUID -ne 0 ]]; then
        echo "Error:This script must be run as root!" 1>&2
        exit 1
    fi
}
#检查系统分支及版本(主要是:分支->>版本>>决定命令格式)
check_release() {
    if uname -a | grep el7  ; then
        release="centos7"
    elif uname -a | grep el6 ; then
        release="centos6"
        yum install ipset -y
    elif cat /etc/issue |grep -i ubuntu ; then
        release="ubuntu"
        apt install ipset -y
    fi
}
#安装必要的软件(wget),并下载中国 IP 网段文件(最后将局域网地址也放进去)
get_china_ip() {
  #安装必要的软件(wget)
  rpm --help >/dev/null 2>&1 && rpm -qa |grep wget >/dev/null 2>&1 ||yum install -y wget ipset >/dev/null 2>&1 
  dpkg --help >/dev/null 2>&1 && dpkg -l |grep wget >/dev/null 2>&1 ||apt-get install wget ipset -y >/dev/null 2>&1
  #该文件由 IPIP 维护更新,大约一月一次更新(也可以用我放在国内的存储的版本,2018-9-8 日版)
  [ -f china_ip_list.txt ] && mv china_ip_list.txt china_ip_list.txt.old
  wget https://github.com/17mon/china_ip_list/blob/master/china_ip_list.txt
  cat china_ip_list.txt |grep 'js-file-line">' |awk -F'js-file-line">' '{print $2}' |awk -F'<' '{print $1}' >> china_ip.txt
  rm -rf china_ip_list.txt
  #wget https://qiniu.wsfnk.com/china_ip.txt
  #放行局域网地址
  echo "192.168.0.0/18" >> china_ip.txt
  echo "10.0.0.0/8" >> china_ip.txt
  echo "172.16.0.0/12" >> china_ip.txt
}
#只允许国内 IP 访问
ipset_only_china() {
  echo "ipset create whitelist-china hash:net hashsize 10000 maxelem 1000000" > /etc/ip-black.sh
  for i in $( cat china_ip.txt )
  do
          echo "ipset add whitelist-china $i" >> /etc/ip-black.sh
  done
  echo "iptables -I INPUT -m set --match-set whitelist-china src -j ACCEPT" >> /etc/ip-black.sh
  #拒绝非国内和内网地址发起的 tcp 连接请求(tcp syn 包)(注意,只是屏蔽了入向的 tcp syn 包,该主机主动访问国外资源不用影响)
  echo "iptables  -A INPUT -p tcp --syn -m connlimit --connlimit-above 0 -j DROP" >> /etc/ip-black.sh
  #拒绝非国内和内网发起的 ping 探测(不影响本机 ping 外部主机)
  echo "iptables  -A INPUT -p icmp -m icmp --icmp-type 8 -j DROP" >> /etc/ip-black.sh
  #echo "iptables -A INPUT -j DROP" >> /etc/ip-black.sh
  rm -rf china_ip.txt
}
run_setup() {
  chmod +x /etc/rc.local
  sh /etc/ip-black.sh
  rm -rf /etc/ip-black.sh
  #下面这句主要是兼容 centos6 不能使用"-f"参数
  ipset save whitelist-china -f /etc/ipset.conf || ipset save whitelist-china > /etc/ipset.conf
  [ $release = centos7 ] && echo "ipset restore -f /etc/ipset.conf" >> /etc/rc.local
  [ $release = centos6 ] && echo "ipset restore < /etc/ipset.conf" >> /etc/rc.local
  echo "iptables -I INPUT -m set --match-set whitelist-china src -j ACCEPT" >> /etc/rc.local
  echo "iptables  -A INPUT -p tcp --syn -m connlimit --connlimit-above 0 -j DROP" >> /etc/rc.local
  echo "iptables  -A INPUT -p icmp -m icmp --icmp-type 8 -j DROP" >> /etc/rc.local
  #echo "iptables -A INPUT -j DROP" >> /etc/rc.local
}
main() {
  check_release
  get_china_ip
  ipset_only_china
case "$release" in
centos6)
  run_setup
  ;;
centos7)
  chmod +x /etc/rc.d/rc.local
  run_setup
  ;;
ubuntu)
  sed -i '/exit 0/d' /etc/rc.local
  run_setup
  echo "exit 0" >> /etc/rc.local
  ;;
esac
}
main

如果你要排除一些 IP,允许这些 IP 作为例外继续访问,可以使用 iptables -I 命令新增 iptables 规则,或者手动添加 iptables 规则,注意要将规则放在最上面,因为 iptables 执行顺序是从上往下。

3.3 手动设置仅允许特定国家 IP 访问

手动设置和上面的一键设置方法是一样的,按照下面的命令一条一条地执行就可以了。

1、安装 ipset
#Debian/Ubuntu 系统
apt-get -y install ipset
#CentOS 系统
yum -y install ipset
CentOS 7 还需要关闭 firewall 防火墙:
systemctl stop firewalld.service
systemctl disable firewalld.service
2、清空之前的规则
#防止设置不生效,建议清空下之前的防火墙规则
iptables -P INPUT ACCEPT
iptables -F
3、创建新规则
#创建一个名为 cnip 的规则
ipset -N cnip hash:net
#下载国家 IP 段,这里以中国为例,其它国家 IP 下载参考:http://www.ipdeny.com/ipblocks/
wget -P . http://www.ipdeny.com/ipblocks/data/countries/cn.zone
#将 IP 段添加到 cnip 规则中
for i in $(cat /root/cn.zone ); do ipset -A cnip $i; done
4、设置 IP 段白名单
#放行 IP 段
iptables -A INPUT -p tcp -m set --match-set cnip src -j ACCEPT
#关掉所有端口
iptables -P INPUT DROP
这时候就只有指定国家的 IP 能访问服务器了。
#如果你在国内,网站不允许被国内人访问,建议别关所有端口,这样你的 S-S-H 会上不去,我们可以只关闭 80/443 端口。
#关闭指定端口,比如 80/443
iptables -A INPUT -p tcp --dport 80 -j DROP
iptables -A INPUT -p tcp --dport 443 -j DROP
这时候其他国家的 IP 是无法访问你服务器的 80/443 端口,等于无法访问你的网站,其它端口还是可以访问的。
5、删除规则
#将参数里的-A 改成-D 就是删除规则了,如
iptables -D INPUT -p tcp -m set --match-set cnip src -j ACCEPT
iptables -D INPUT -p tcp --dport 443 -j DROP

四、Wordpress 屏蔽特定 IP

WordPress 插件
https://wordpress.org/plugins/wordfence/
https://wordpress.org/plugins/all-in-one-wp-security-and-firewall/
https://wordpress.org/plugins/ip-geo-block/

五、总结

网站屏蔽特定国家 IP 最简单的方法就是本文介绍的 PHP 代码,引用了淘宝 IP 库,准确度非常高,而且还可以精确到省、市,自己可以根据需要来调整。不足的地方是不支持 Https 以及仅限 PHP 运行。

实际上常用的应该是 iptables,直接以Linux防火墙的方式来阻止 IP 访问,不消耗资源,阻止得干净彻底。Nginx 的 Geo IP 模块应用范围比较广泛,结合 Nginx 你可以实现对不同的 IP 用户展现不同的内容。


KIENG , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA 4.0协议进行授权
转载请注明原文链接:网站屏蔽和阻止特定地区和国家的 IP 访问设置方法-PHP 代码/Nginx/WordPress 设置
本文章链接:https://blog.kieng.cn/774.html
喜欢 (0)
KIENG
关于作者:
一个热衷网络的Man
发表我的评论
取消评论
表情 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 快速获取昵称
  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
(4)个小伙伴在吐槽
  1. 签到成功!签到时间:2019-03-30 12:56:03,每日打卡,生活更精彩哦~
    老哥2019-03-30 13:04 回复 Windows 10 | Chrome 69.0.3497.100
  2. 签到成功!签到时间:2019-03-30 16:30:38,每日打卡,生活更精彩哦~
    Object.2019-03-30 16:30 回复 Windows 10 | Chrome 73.0.3683.86
  3. 楼下是疯子。哈哈
    秋霞电影网2019-05-06 19:36 回复 Windows 7 | 未知浏览器
    • KIENG
      说啥呢?????
      KIENG2019-05-06 19:39 回复 Linux | Chrome 57.0.2987.108