可在宝塔面板中启用系统防火墙模块(基于iptables或firewalld)封禁恶意IP:一、通过面板安全页启动防火墙;二、SSH手动启用firewalld或ufw;三、在IP黑名单添加IP或IP段;四、用telnet验证Connection refused即生效;五、直接删除黑名单条目即可解封。
如果您在宝塔面板中需要阻止恶意IP访问服务器,可直接启用其内置的系统防火墙模块。该模块基于iptables或firewalld(依操作系统而定),能对指定IP或IP段执行实时封禁操作。以下是开启并配置系统防火墙的具体步骤:
一、通过宝塔面板界面启用系统防火墙
宝塔面板提供图形化入口管理服务器底层防火墙,无需手动执行命令行指令,适用于大多数CentOS/Ubuntu/Debian系统。启用后可立即生效,支持端口放行与IP封禁双重策略。
1、登录宝塔面板,在左侧菜单栏点击安全选项。
2、在安全页面中,找到系统防火墙模块,确认其状态显示为“已停止”。
3、点击右侧的启动按钮,等待状态变为“正在运行”。
4、启动成功后,面板将自动加载当前系统已开放的端口列表,并显示默认放行规则。
二、手动启用系统防火墙服务(备用方案)
当面板界面中“系统防火墙”模块不可见或启动失败时,说明该模块可能未被正确识别或服务未安装。此时需通过SSH连接服务器,使用原生命令启用底层防火墙服务。
1、使用SSH工具(如PuTTY或终端)以root身份登录服务器。
2、执行命令判断防火墙类型:systemctl status firewalld(适用于CentOS 7+/Rocky/AlmaLinux)或systemctl status ufw(适用于Ubuntu/Debian)。
3、若firewalld处于inactive状态,依次执行:systemctl start firewalld 和 systemctl enable firewalld。
4、若ufw处于inactive状态,依次执行:ufw enable 和 ufw default deny incoming。
三、添加恶意IP封禁规则
系统防火墙启用后,可通过面板界面快速添加IP黑名单。所有被加入的IP将被拒绝所有入站连接,包括HTTP、SSH、FTP等协议,实现强效拦截。
1、返回宝塔面板安全页面,确保系统防火墙已启动。
2、在“IP黑名单”区域,点击添加按钮。
3、在弹出框中输入需封禁的IP地址(如192.168.10.55)或IP段(如192.168.10.0/24),点击确定。
4、封禁规则即时写入iptables/firewalld配置,无需重启服务即可生效。
四、验证封禁效果
添加IP黑名单后,需通过外部网络验证该IP是否已被实际拦截。验证过程不依赖网站服务,仅检测TCP连接层面的拒绝响应,结果可靠且无误报风险。
1、从被封禁IP所在的设备(或模拟该IP环境)尝试访问服务器任意开放端口,例如SSH端口22或HTTP端口80。
2、使用telnet命令测试:telnet 服务器IP 22,若返回Connection refused或No route to host,则表明封禁生效。
3、在宝塔面板安全 → 系统防火墙 → IP黑名单列表中,确认该IP右侧“操作”列显示为已封禁。
五、解除特定IP封禁
当误封或临时解封需求出现时,可通过面板快速移除对应IP规则。解除操作立即生效,无需重启防火墙服务,且不影响其他已配置规则的运行状态。
1、进入宝塔面板安全 → 系统防火墙页面。
2、在“IP黑名单”列表中,定位目标IP地址。
3、点击该IP右侧的删除按钮。
4、确认弹窗提示后,该IP即从iptables/firewalld规则链中移除,其后续连接请求将恢复正常处理流程。
