如何配置宝塔面板的IP+UA模式的CC防御规则的IP黑名单?
美国、香港服务器
如何配置宝塔面板的IP+UA模式的CC防御规则的IP黑名单?
02-04 来源:
配置宝塔面板 IP+UA 模式 CC 防御的 IP 黑名单,需结合面板可视化操作与命令行底层配置,优先用面板实现全局 / 站点级 IP 封禁,同时可通过配置文件与脚本批量管理,以下是详细步骤:
一、面板可视化配置(推荐)
1. 全局 IP 黑名单(所有站点生效)
路径:安全 → 防火墙 → IP 黑名单
输入需封禁的 IP(支持单个 IP、CIDR 段如 192.168.1.0/24)。
选择封锁周期(临时 / 永久),应用范围选 “全局”,动作设为 “阻止”。
点击 “添加” 后,重载防火墙规则,规则优先级高于 CC 防御,直接阻断匹配 IP 访问。
2. 站点级 IP 黑名单(单站点独立规则)
路径:网站 → 目标网站 → 设置 → 配置文件
在 Nginx/Apache 配置中添加deny 192.168.1.100;(单个 IP)或deny 192.168.1.0/24;(IP 段)。
保存后重启 Web 服务,仅对当前站点生效,不影响全局规则。
3. IP+UA 模式联动配置
路径:安全 → Web 防火墙 → 全局 / 站点 → CC 防御
开启 IP+UA 防御模式,确保黑名单 IP 在统计维度前被拦截。
从 CC 防御攻击日志中定位高频 IP,一键添加至黑名单。
启用 “获取真实 IP”(CDN 场景),避免误封 CDN 节点 IP。
二、命令行底层配置(批量 / 自动化)
1. 配置文件手动添加
编辑 WAF 配置文件:
bash
运行
vi /www/server/panel/vhost/wafconf/config.lua
在ipBlocklist中添加 IP,格式为{"192.168.1.100", "192.168.2.0/24"}。
保存后重启 Nginx/Apache 与 WAF 服务:
bash
运行
nginx -s reload
2. 批量导入 IP 黑名单脚本
bash
运行
#!/bin/bash
# 批量导入IP黑名单,IP列表存于blacklist.txt
while read ip; do
bt 123456 firewall add blacklist --ip=$ip --expire=3600 --scope=global
done < blacklist.txt
bt reload firewall
三、规则优先级与生效验证
优先级顺序:IP 白名单 > IP 黑名单 > UA 黑白名单 > CC 防御(IP+UA 模式),黑名单 IP 直接拦截,不进入 CC 频率统计。
验证方法:
面板查看:安全 → 防火墙 → IP 黑名单,确认 IP 已添加。
命令行验证:
bash
运行
grep "deny" /www/server/panel/vhost/wafconf/ipblacklist.conf
模拟访问:用黑名单 IP 访问网站,应返回 403 错误,且 CC 防御日志无该 IP 记录。
四、常见问题与排查
规则失效:检查是否开启 CDN,未获取真实 IP 会导致误封 CDN 节点,需在面板开启 “获取真实 IP”。
黑白名单冲突:确保 IP 未同时存在于白名单,白名单优先级高于黑名单。
重启失效:确认防火墙规则已保存并设置开机自启,避免重启服务器后规则丢失。
五、IP+UA 模式专属优化
结合 CC 防御日志,将触发 IP+UA 规则的高频 IP 加入黑名单,形成双重防护。
对频繁更换 UA 的 IP,通过 IP 黑名单直接封禁,无需依赖 UA 维度匹配。
三二互联专业提供香港VPS,美国VPS主机,香港云服务器租用等业务香港美国到大陆CN2 GIA速度最快
