如何设置vps屏蔽国外ip访问 详细教程与配置方法

在开始配置VPS屏蔽国外IP访问之前，需要完成以下准备工作。首先确保您已拥有一个运行中的VPS服务器，并具备root或sudo权限。建议选择CentOS 7+或Ubuntu 18.04+等主流Linux发行版。需要准备的工具包括：

• SSH客户端（如PuTTY或Terminal）
• 文本编辑器（vim/nano）
• 最新系统更新：sudo yum update 或 sudo apt update

注意：操作前请务必备份现有防火墙规则和重要数据，错误配置可能导致服务不可用。

理解IP地理位置库原理

实现IP地域屏蔽的核心依赖于GeoIP数据库。该数据库通过将IP地址段映射到国家/地区编码，使防火墙能够识别流量来源。主流方案包括：

建议选择MaxMind数据库，因其提供更频繁的更新和更详细的元数据。

安装配置GeoIP数据库

在CentOS系统中执行：

• 安装EPEL仓库：sudo yum install epel-release
• 安装GeoIP模块：sudo yum install geoip-update
• 更新数据库：sudo geoipupdate -v

在Ubuntu系统中使用：

• 安装工具集：sudo apt install geoip-bin geoip-database
• 下载最新数据库：wget -O /usr/share/GeoIP/GeoIP.dat.gz "https://download.maxmind.com/download/geoip/database/asn/GeoIPASNum.dat.gz"

配置iptables实现地域屏蔽

通过iptables的geoip模块实现精准控制：

1. 加载geoip内核模块：sudo modprobe xt_geoip
2. 查看支持的国家代码：ls /usr/share/xt_geoip/
3. 添加规则屏蔽非中国IP：
   • sudo iptables -A INPUT -m geoip ! --src-cc CN -j DROP
   • sudo iptables -A OUTPUT -m geoip ! --dst-cc CN -j DROP

特殊例外设置方法：如需允许特定国外IP访问，插入规则：sudo iptables -I INPUT -s 192.0.2.1 -j ACCEPT

使用Firewalld的高级配置

对于使用firewalld的系统，可通过富规则实现：

• 启用firewalld：sudo systemctl enable firewalld
• 添加中国IP段允许规则：sudo firewall-cmd --permanent --add-rich-rule='rule source limit="2/m" region=CN accept'
• 拒绝其他地区：sudo firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source not region=CN drop'

Nginx层的地理位置限制

在Web服务器层面实现补充防护：

• 安装ngx_http_geoip_module：sudo yum install nginx-mod-http-geoip
• 在nginx.conf中添加：
  

  
geoip_country /usr/share/GeoIP/GeoIP.dat;
map $geoip_country_code $allowed_country {
  default no;
  CN yes;


• 在server区块中应用：if ($allowed_country = no) { return 403; }

自动化维护与监控

确保持续有效性的关键措施：

• 创建定期更新任务：echo "0 3 * * 1 root /usr/bin/geoipupdate" | sudo tee -a /etc/crontab
• 配置日志监控：sudo tail -f /var/log/iptables.log | grep -i 'geoip'
• 设置邮件告警：使用fail2ban监控异常登录尝试

故障排查与常见问题

典型问题解决方案：

• 规则未生效：检查模块加载 lsmod | grep geoip
• 国内用户被屏蔽：验证数据库版本 geoiplookup 202.96.128.86
• 性能下降：使用IPset优化大批量IP处理