我如何阻止所有中国用户进入我的服务器

Question 1

如果您试图缓解 DDOS 攻击，那么您需要让您的 ISP 在其级别上阻止恶意行为者。一旦 DDOS 流量到达您的路由器/防火墙/服务器，它就会占用您的带宽。

Answer

如果您试图缓解 DDOS 攻击，那么您需要让您的 ISP 在其级别上阻止恶意行为者。一旦 DDOS 流量到达您的路由器/防火墙/服务器，它就会占用您的带宽。

Question 2

您可以使用 GeoIP 服务获取已知的中国 IP 列表，然后使用 iptables 禁止其连接。

看看这里GeoLite2 免费下载数据库并下载 CSV 文件。从文件中，GeoLite2-Country-Locations-en.csv您可以发现中国的地理名称 ID 为 1814991。然后您可以使用该值进行过滤GeoLite2-Country-Blocks-IPv4.csv

grep '1814991' GeoLite2-Country-Blocks-IPv4.csv |
while read NETWORK STUFF
do
    # iptables code here
done

正如建议的那样，询问 ISP 是一个更好的主意。

Answer

您可以使用 GeoIP 服务获取已知的中国 IP 列表，然后使用 iptables 禁止其连接。

看看这里GeoLite2 免费下载数据库并下载 CSV 文件。从文件中，GeoLite2-Country-Locations-en.csv您可以发现中国的地理名称 ID 为 1814991。然后您可以使用该值进行过滤GeoLite2-Country-Blocks-IPv4.csv

grep '1814991' GeoLite2-Country-Blocks-IPv4.csv |
while read NETWORK STUFF
do
    # iptables code here
done

正如建议的那样，询问 ISP 是一个更好的主意。

Question 3

好了，获取中国境内所有公网IP范围，用DROP添加到iptables中。

虽然这个想法很愚蠢，但你应该使用一些避免 DDOS 的选项（例如对于 Apache：mod_evasive或者mod_security）或者 iptables 中普通的限制，例如：

iptables -A INPUT -p tcp --dport 80 -m state --state NEW -m limit --limit 50/minute --limit-burst 200 -j ACCEPT

Answer

好了，获取中国境内所有公网IP范围，用DROP添加到iptables中。

虽然这个想法很愚蠢，但你应该使用一些避免 DDOS 的选项（例如对于 Apache：mod_evasive或者mod_security）或者 iptables 中普通的限制，例如：

iptables -A INPUT -p tcp --dport 80 -m state --state NEW -m limit --limit 50/minute --limit-burst 200 -j ACCEPT

相关内容