济南高防服务器如何设置只允许国内IP访问?

在济南从事服务器运维和网站管理的朋友，最近应该深有体会：随着海外网络攻击的日益频繁，很多面向国内用户的本地业务系统，莫名其妙就会收到来自全球各地的恶意扫描和自动化攻击。为了保护服务器的安全和带宽资源，越来越多的企业开始寻求一种“闭关锁国”的策略——只允许国内IP访问，将海外的流量统统拒之门外。但实际操作起来，很多人却犯了难：到底是在服务器内部设置防火墙，还是在高防后台做策略?一旦设置不当，会不会把自己也关在门外?今天，我就结合近期帮济南一家本地企业做安全加固的实战经历，和大家详细聊聊如何科学、安全地在高防服务器上实现国内IP访问白名单。

设置只允许国内IP访问，核心思路其实非常清晰：我们需要一份最新、最全的中国IP地址段列表，然后通过防火墙或高防策略，设置一条“默认拒绝所有”的规则，再在这之上添加“允许中国IP段”的放行规则。听起来简单，但落地执行时，不同的架构有不同的最优解。

首选方案：利用高防控制台的“区域封禁”功能

如果你的济南高防服务器接入了云厂商的DDoS高防服务(比如阿里云、腾讯云等提供的专业高防实例)，那么恭喜你，最省心、最高效的方法根本不需要你登录服务器敲任何命令。

目前主流的高防控制台都内置了非常强大的“区域封禁”或“地理区域访问控制”功能。它的原理是，高防节点在云端就内置了高精度的全球IP地理数据库。当访问流量到达高防集群时，系统会自动识别源IP的归属地。你只需要登录高防控制台，在防护设置或通用防护策略里找到“区域封禁”的选项，将除中国内地以外的所有区域(或者直接选择“海外地区”)一键设置为封禁状态即可。

这种方案的优势是巨大的。首先，拦截动作发生在高防节点，海外的攻击流量在到达你的真实服务器之前就已经被清洗掉了，完全不占用你服务器的CPU、内存和带宽资源。其次，云端IP库通常由大厂实时维护，准确率极高，不需要你手动去更新繁琐的IP段文件。对于绝大多数只想做基础区域隔离的站长来说，这是首选的“零损耗”方案。

次选方案：在服务器内部利用 Web 服务(Nginx)进行拦截

如果你使用的是独立的高防服务器，或者高防控制台没有提供区域封禁功能，我们可以在服务器的 Web 服务层(以目前最主流的 Nginx 为例)进行拦截。这种方法比系统防火墙更灵活，且对业务端口的管控更加精准。

要在 Nginx 中实现基于国家的访问控制，我们需要借助 ngx_http_geoip2_module 模块。这个模块允许 Nginx 读取本地的 GeoIP 数据库(通常使用 MaxMind 提供的免费 GeoLite2 数据库)，从而识别访问者的国家代码。

具体的操作逻辑是：首先在服务器上安装 GeoIP2 模块，并下载最新的国家 IP 数据库文件(.mmdb 格式)。接着，在 Nginx 的主配置文件(nginx.conf)的 http 块中加载该模块和数据库路径，将客户端的真实 IP 对应的国家代码(如 CN 代表中国)映射为一个变量。最后，在你的网站站点配置(server 块)中，通过简单的判断语句来实现拦截。例如，你可以写入一条规则：当访问者的国家代码不等于 CN 时，直接返回 403 禁止访问的状态码。

这里有一个极易被忽略但至关重要的细节：如果你的高防服务器前端挂了 CDN 或者高防本身做了代理，Nginx 默认获取到的 $remote_addr 将是 CDN 或高防节点的 IP，而不是访客的真实 IP。因此，你必须在 Nginx 中正确配置 real_ip_header X-Forwarded-For; 以及 set_real_ip_from(填入你信任的高防或 CDN 节点 IP 段)，确保 Nginx 能提取到访客的真实 IP，否则地理拦截将会完全失效。

兜底方案：利用 Linux 系统防火墙(iptables/ipset)进行底层封锁

对于非 Web 业务(比如只开放了特定端口的游戏服务器、数据库服务等)，或者你希望从操作系统内核层面彻底阻断海外流量，那么使用 Linux 自带的防火墙进行拦截是最彻底的兜底方案。

在 Linux 系统中，直接使用 iptables 逐条添加成千上万条中国 IP 段规则是非常低效且消耗性能的。因此，我们必须配合 ipset 这个神器来使用。ipset 可以将数万个 IP 地址段打包成一个集合，iptables 只需要针对这一个集合进行匹配，性能极高。

操作流程大致如下：首先，在服务器上安装 ipset 工具，并从公开的 IP 地址库网站(如 ipdeny 或 GitHub 上的开源项目)下载最新的中国 IPv4 地址段列表(通常是 .zone 或 .txt 格式)。然后，创建一个名为 cnip 的 ipset 集合，并通过脚本将下载好的中国 IP 段批量导入到这个集合中。最后，配置 iptables 规则：先添加一条规则放行 cnip 集合中的所有流量，再添加一条默认规则拒绝(DROP)所有其他来源的入站连接。

不过，使用系统防火墙拦截有一个非常大的风险点，那就是容易“误伤自己”。在你设置“拒绝所有非中国IP”的规则生效的那一瞬间，如果你当前的运维管理 IP 恰好不在中国 IP 段列表内(比如你正在使用海外的跳板机，或者某些企业宽带的出口 IP 归属地漂移)，你会立刻被踢出服务器，且再也连不上去。因此，在执行这条终极封锁命令之前，务必先添加一条永久放行你自己当前办公网络 IP 的白名单规则，给自己留一条“后门”。

实战案例：济南本地生活平台的海外流量清洗

前段时间，济南一家做本地生活服务的平台频繁遭到海外僵尸网络的 CC 攻击，导致服务器负载常年居高不下。由于他们的业务 100% 面向济南及山东省内用户，我们决定直接切断所有海外流量。

考虑到他们的架构前端已经有一套高防实例，我们首选了高防控制台的区域封禁功能，一键开启了“只允许中国内地访问”。然而，在开启后的第二天，运营人员反馈网站在 Google 搜索引擎上突然搜不到了。

这其实是一个非常典型的“副作用”。因为 Google 的爬虫服务器遍布全球，且大部分位于海外。当我们只允许中国 IP 访问时，Googlebot 爬虫也被无情地拦截在了门外，导致网站无法被抓取和收录。最终，我们协助该平台调整了策略：在高防层面依然保持区域封禁，但在 Nginx 层面针对 Google、Bing 等主流搜索引擎的爬虫 User-Agent 或特定的爬虫 IP 段做了放行例外。这样既挡住了 99% 的海外恶意攻击，又保留了正常的海外搜索引擎收录，完美解决了安全与推广的矛盾。

总结

为济南高防服务器设置只允许国内 IP 访问，本质上是在做一道“安全与便利”的平衡题。我们推荐大家遵循“高防云端拦截优先，Web 服务层精细化控制为辅，系统防火墙兜底”的纵深防御原则。

在动手设置之前，一定要明确自己的业务场景：是否完全不需要海外用户访问?是否需要保留海外搜索引擎的收录?只有在充分评估业务需求，并做好自身运维 IP 白名单的前提下，才能安全地落下这道“国门”，让服务器在复杂的网络环境中获得最纯净、最安全的运行环境。希望今天的分享，能为你在服务器安全运维的道路上提供一份切实可行的操作指南。