本文带来一套底层Linux防火墙防护方案，直接基于iptables+ipset构建IP地理围栏，实现服务器安全等级跃升。相比Web层防护，本方案效果提升300%，且无需编译Nginx或额外软件依赖。

一、核心原理与优势

• 地理围栏机制：通过APNIC权威数据获取中国IP段，仅允许可信IP访问关键服务（如SSH、HTTP/HTTPS），彻底阻断境外恶意扫描。
• 性能突破：使用ipset工具管理IP集合，可处理10万+规则而不卡顿（普通iptables超1000条即性能骤降）。
• 数据权威性：APNIC每日更新亚太地区IP分配数据，覆盖中国所有运营商公网IP。

二、实战步骤详解（10分钟完成）

步骤1：安装ipset工具（1分钟）

根据系统选择命令执行：

# Debian/Ubuntu系统
sudo apt-get update && sudo apt-get install ipset -y

# CentOS/RHEL系统
sudo yum install ipset -y

步骤2：创建中国IP集合（2分钟）

自动下载并添加中国IPv4段至ipset：

# 创建china集合
sudo ipset create china hash:net

# 从APNIC下载数据并过滤中国IP段
curl -s https://ftp.apnic.net/stats/apnic/delegated-apnic-latest | 
  grep "CN|ipv4" | 
  awk -F'|' '{print $4 "/" (32 - log($5)/log(2))}' | 
  while read ip; do sudo ipset add china $ip; done

# 验证IP数量（预期约8000+段）
ipset list china | wc -l

步骤3：配置防火墙规则（1分钟）

设置关键端口仅允许中国IP访问：

# SSH端口（22）规则
sudo iptables -A INPUT -p tcp --dport 22 -m set --match-set china src -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 22 -j DROP

# Web服务端口（80/443）规则
sudo iptables -A INPUT -p tcp --dport 80 -m set --match-set china src -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 80 -j DROP
sudo iptables -A INPUT -p tcp --dport 443 -m set --match-set china src -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 443 -j DROP

三、关键注意事项（避坑指南）

1. 防误锁风险
2. 操作前查询本机IP：curl ifconfig.me
3. 若IP非中国段，先添加白名单：sudo iptables -I INPUT -s 您的IP -j ACCEPT
4. CDN服务兼容
   使用Cloudflare等CDN时，需额外添加其IP段：
5. curl -s https://www.cloudflare.com/ips-v4 | while read ip; do sudo ipset add china $ip; done
6. 紧急恢复脚本
   创建应急脚本/root/firewall-restore.sh，内容为iptables -F，并赋予执行权限。

四、高级优化方案

• 定时更新IP库
  通过cron任务每周自动更新中国IP段（示例为每周日2点）：
• # 编辑crontab：sudo crontab -e 0 2 * * 0 /usr/bin/ipset flush china && /usr/bin/curl -s https://ftp.apnic.net/stats/apnic/delegated-apnic-latest | grep “CN|ipv4” | awk -F'|' '{print $4 “/” (32-log($5)/log(2))}' | while read ip; do /usr/bin/ipset add china $ip; done

五、方案总结

• 适用场景：面向国内用户的服务器、需阻断境外攻击源的业务环境。
• 资源需求：仅依赖系统自带工具（iptables/ipset），无额外开销。
• 风险提示：生产环境部署前务必测试，避免误阻断合法流量。