碼上歡樂
相關內容    簡體    繁體

站點防攻擊之禁止國外ip

本文轉載自   查看原文   2020-06-28 10:55   1165    安全/ ip限制

一 獲取國內ip地址

wget -q --timeout=60 -O- 'http://ftp.apnic.net/apnic/stats/apnic/delegated-apnic-latest' | awk -F\| '/CN\|ipv4/ { printf("%s/%d\n", $4, 32-log($5)/log(2)) }' > /root/china_ssr.txt

2020-6-28最新的ip列表

鏈接:https://pan.baidu.com/s/1428CL-I7XPl8PeAzhi4Jog 
提取碼:c0fp

二、防火牆添加ip列表

centos6下 allcn.sh

mmode=$1

#下面語句可以單獨執行,不需要每次執行都獲取網段表
#wget -q --timeout=60 -O- 'http://ftp.apnic.net/apnic/stats/apnic/delegated-apnic-latest' | awk -F\| '/CN\|ipv4/ { printf("%s/%d\n", $4, 32-log($5)/log(2)) }' > /root/china_ssr.txt
 
CNIP="/root/china_ssr.txt"
#獲取ip列表 
gen_iplist() {
   	cat <<-EOF
    	$(cat ${CNIP:=/dev/null} 2>/dev/null)
	EOF
}
#清空
flush_r() {
	iptables  -F ALLCNRULE 2>/dev/null
	iptables -D INPUT -p tcp -j ALLCNRULE 2>/dev/null
	iptables  -X ALLCNRULE 2>/dev/null
	ipset -X allcn 2>/dev/null
}

mstart() {
	ipset create allcn hash:net 2>/dev/null
	ipset -! -R <<-EOF 
		$(gen_iplist | sed -e "s/^/add allcn /")
	EOF
	 
	iptables -N ALLCNRULE 
	iptables -I INPUT -p tcp -j ALLCNRULE 
	iptables -A ALLCNRULE -s 127.0.0.0/8 -j RETURN
	iptables -A ALLCNRULE -s 169.254.0.0/16 -j RETURN
	iptables -A ALLCNRULE -s 224.0.0.0/4 -j RETURN
	iptables -A ALLCNRULE -s 255.255.255.255 -j RETURN
	#start可在此增加你的公網網段,避免調試ipset時出現自己無法訪問的情況
	
	#end
	iptables -A ALLCNRULE -m set --match-set allcn  src -j RETURN 
	iptables -A ALLCNRULE -p tcp -j DROP
}
 
if [ "$mmode" == "stop" ] ;then
	flush_r
	exit 0
fi
 
flush_r
sleep 1
mstart

centos7下 allcn.sh

三、nginx添加ip白名單

location /{
    include /home/whitelist.conf;
	deny all;
}

#whitelist.conf 內容
allow 117.124.0.0/9;
allow 116.128.0.0/9;
allow 39.128.0.0/10;
...
#當然,whitelist.conf 中的內容也可以直接寫在 nginx.conf 里

四、程序中添加限制,接口響應影響訪問速度

php是否國內ip

function isIpAllow() {
	$ip = "";
	if (!empty($_SERVER['HTTP_X_FORWARDED_FOR'])) {
        $ip = trim(current(explode(',', $_SERVER['HTTP_X_FORWARDED_FOR'])));
    } elseif(!empty($_SERVER['REMOTE_ADDR']) ) {
        $ip = $_SERVER['REMOTE_ADDR'];
    }
	$ip = preg_match ( '/[\d\.]{7,15}/', $ip, $matches ) ? $matches [0] : '';
	if($ip)
	{
		$ch = curl_init();
		curl_setopt($ch, CURLOPT_URL, "http://ip-api.com/json/".$ip."?fields=country");
		curl_setopt($ch, CURLOPT_TIMEOUT, 1);
		curl_setopt($ch, CURLOPT_HEADER, 0);
		curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
		$data = curl_exec($ch);
		curl_close($ch);
		if( !empty($data) && strpos( strtolower($data),'china')=== false)
		{
			return false;
		}
		return true;
	}
	return true;
}

ip的參考文章

https://www.cnblogs.com/lushaoyan/p/11088213.html
https://www.cnblogs.com/rendd/p/6183094.html


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 PHP禁止同一IP頻繁訪問以防止網站被防攻擊或采集的代碼 防惡意解析,禁止用IP訪問網站的Apache設置 服務器的攻與防(firewall 禁止指定Ip) 原:防服務器攻擊的ip安全策略 Linux 如何設置只允許域名訪問站點而禁止IP訪問站點 FreeSwitch安裝在雲服務器禁止國外IP訪問 防cc攻擊策略 app防攻擊辦法 PHP 防xss攻擊 PHP防XSS攻擊
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM