草根吧VPS_最新VPS信息参考
当网站达到一定程度时,可能会吸引一些坏人攻击和扫描漏洞,或者当你的网站改进时,一些野兽会直接收集你的网站。收藏网站的权限比自己的网站还高,简直无法忍受。但是你有没有注意到,来攻击网站的IP大多来自国外,而且大部分采集站也使用国外空间,因为备案太麻烦了。
这意味着如果能阻断国内IP对网站的访问,就可以杀死70%的前段时间被攻击的CC或ddos攻击。然后我在网上找了很多阻止外网IP访问的方法,测试了很多,发现根本没有攻击。鸡蛋使用,也有人说使用域名解析来禁止海外IP访问网站,也就是说在阿里云域名解析中,阿里云有一条海外解析线路,如下图,设置海外ji解析线ip为127.0.0.1,那么访问网站的海外用户就变成访问本地ip了,我试了一下,结果是两个字:放屁,无效,设置海外分析路由,海外依然可以正确访问网站
最后,我用谷歌搜索了一个解决方案。不得不说,百度和谷歌的差距还是蛮大的。很多问题都搜了,没找到解决办法,但是谷歌可以找到。百度的商业性太强了。更多的说,直接看方法:
我用的是CentOS,先运行如下语句获取国内IP网段并保存到这个目录:root/china_ssr.txt
wget -q --timeout=60 -O- 'http://ftp.apnic.net/apnic/stats/apnic/delegated-apnic-latest' | awk -F| '/CN|ipv4/ { printf("%s/%dn", $4, 32-log($5)/log(2)) }' > /root/china_ssr.txt将以下脚本另存为/root/allcn.sh并设置可执行权限
mmode=$1 #下面语句可以单独执行,不需要每次执行都获取网段表 #wget -q --timeout=60 -O- 'http://ftp.apnic.net/apnic/stats/apnic/delegated-apnic-latest' | awk -F| '/CN|ipv4/ { printf("%s/%dn", $4, 32-log($5)/log(2)) }' > /root/china_ssr.txt CNIP="/root/china_ssr.txt" gen_iplist() { cat null} 2>/dev/null) EOF } flush_r() { iptables -F ALLCNRULE 2>/dev/null iptables -D INPUT -p tcp -j ALLCNRULE 2>/dev/null iptables -X ALLCNRULE 2>/dev/null ipset -X allcn 2>/dev/null } mstart() { ipset create allcn hash:net 2>/dev/null ipset -! -R "s/^/add allcn /") EOF iptables -N ALLCNRULE iptables -I INPUT -p tcp -j ALLCNRULE iptables -A ALLCNRULE -s 127.0.0.0/8 -j RETURN iptables -A ALLCNRULE -s 169.254.0.0/16 -j RETURN iptables -A ALLCNRULE -s 224.0.0.0/4 -j RETURN iptables -A ALLCNRULE -s 255.255.255.255 -j RETURN #可在此增加你的公网网段,避免调试ipset时出现自己无法访问的情况 iptables -A ALLCNRULE -m set --match-set allcn src -j RETURN iptables -A ALLCNRULE -p tcp -j DROP } if [ "$mmode" == "stop" ] ;then flush_r exit 0 fi flush_r sleep 1 mstart执行以下代码,国外ip执行后将无法打开网站
/root/allcn.sh如果要停止,执行以下命令恢复国外ip访问网站:
/root/allcn.sh stop注意:代码基于你懂脚本命令,新手小白不要乱来,否则大家将无法访问你的服务器(包括网站和远程连接)
