VPS如何有效拦截特定IP段以增强服务器安全性？

IP段范围	拦截方式	适用场景	操作难度
192.168.0.0/16	iptables	内网攻击防护	中等
10.0.0.0/8	firewalld	私有网络隔离	简单
172.16.0.0/12	ufw	办公网络管理	简单
特定国家IP段	ipset	地域限制访问	较高
恶意扫描IP段	fail2ban	自动化防护	中等

VPS如何拦截IP段？全面解析VPS防火墙配置方法与常见问题

在VPS服务器管理中，拦截特定IP段是保护服务器安全的重要手段。通过合理配置防火墙规则，可以有效阻止恶意访问、DDoS攻击和未经授权的网络扫描。

主要拦截方法概览

方法	适用系统	配置复杂度	持久化支持
iptables	所有Linux发行版	中等	需要额外配置
firewalld	CentOS/RHEL/Fedora	简单	自动持久化
ufw	Ubuntu/Debian	简单	自动持久化
ipset	所有Linux发行版	较高	需要额外配置
fail2ban	所有Linux发行版	中等	自动持久化

分步骤详细操作流程

步骤一：使用iptables拦截IP段

操作说明 iptables是Linux系统最基础的防火墙工具，可以直接操作内核级的网络包过滤。 使用工具提示

• 需要root权限
• 建议先备份现有规则
• 操作前确认IP段范围

# 拦截整个192.168.0.0/16网段
iptables -A INPUT -s 192.168.0.0/16 -j DROP
拦截10.0.0.0/8网段但允许SSH
iptables -A INPUT -s 10.0.0.0/8 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -s 10.0.0.0/8 -j DROP
查看当前规则
iptables -L -n

步骤二：使用firewalld管理IP段拦截

操作说明 firewalld是CentOS/RHEL系统的动态防火墙管理器，配置更直观且支持运行时修改。 使用工具提示

• 确保firewalld服务运行
• 使用firewall-cmd命令
• 配置立即生效且持久化

# 永久拦截192.168.1.0/24网段
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" reject'
临时拦截特定IP段（重启后失效）
firewall-cmd --add-rich-rule='rule family="ipv4" source address="10.1.0.0/16" drop'
重新加载配置
firewall-cmd --reload
查看当前富规则
firewall-cmd --list-rich-rules

步骤三：使用ufw简化防火墙配置

操作说明 ufw是Ubuntu系统的简化防火墙配置工具，适合初学者使用。 使用工具提示

• 需要启用ufw服务
• 规则配置简单直观
• 自动处理持久化

# 启用ufw（如果尚未启用）
ufw enable
拦截172.16.0.0/12网段
ufw deny from 172.16.0.0/12
允许特定IP段访问SSH
ufw allow from 192.168.100.0/24 to any port 22
查看状态
ufw status numbered

步骤四：使用ipset管理大量IP段

操作说明 ipset专门用于管理大量IP地址集合，性能优于直接使用iptables。 使用工具提示

• 需要安装ipset包
• 创建集合后再添加到iptables
• 支持多种集合类型

# 创建IP段集合
ipset create blockednets hash:net
添加IP段到集合
ipset add blockednets 203.0.113.0/24
ipset add blockednets 198.51.100.0/24
将集合应用到iptables
iptables -I INPUT -m set --match-set blockednets src -j DROP
保存ipset规则（重启后保持）
ipset save > /etc/ipset.conf

步骤五：使用fail2ban自动拦截恶意IP

操作说明 fail2ban可以监控系统日志，自动检测并拦截有恶意行为的IP地址。 使用工具提示

• 需要配置监控规则
• 可设置封禁时间
• 支持多种服务监控

```bash

创建自定义fail2ban规则

cat > /etc/fail2ban/jail.d/custom.conf