宝塔面板如何通过命令行一键封禁正在攻击服务器的恶意IP？

发现服务器遭高频请求攻击时，应立即通过命令行调用防火墙工具封禁恶意IP：一、用iptables直接封禁单个IP；二、用ipset批量管理并封禁IP段；三、基于Nginx日志实时提取高频IP自动封禁；四、利用fail2ban监控日志并自动封禁CC攻击源。

如果您发现服务器正遭受高频请求攻击，且需要快速响应封禁恶意IP，则可通过命令行直接调用系统防火墙工具实施即时拦截。以下是多种可行的命令行封禁方法：

一、使用iptables直接封禁IP

该方法绕过宝塔面板界面，直接操作Linux内核防火墙规则，响应迅速，适用于紧急封禁单个或多个已确认恶意IP。

1、执行命令封禁单个IP：
iptables -I INPUT -s 192.168.1.100 -j DROP

2、保存当前iptables规则（Debian/Ubuntu）：
iptables-save > /etc/iptables/rules.v4

3、保存当前iptables规则（CentOS 7）：
service iptables save

4、验证封禁是否生效：
iptables -L INPUT -n | grep 192.168.1.100

二、使用ipset批量封禁IP段或高危IP列表

ipset可高效管理成百上千个IP地址，避免iptables规则膨胀，适合从日志中提取大量攻击源后集中封禁。

1、创建名为blacklist的ipset集合：
ipset create blacklist hash:ip

2、向集合中添加恶意IP：
ipset add blacklist 203.0.113.45

3、在iptables中引用该集合进行拦截：
iptables -I INPUT -m set --match-set blacklist src -j DROP

4、将当前ipset持久化（Debian/Ubuntu）：
ipset save blacklist > /etc/ipset.conf

5、设置开机自动加载ipset规则：
echo "ipset restore > /etc/rc.local

三、基于Nginx访问日志实时提取并封禁高频IP

该方法通过解析最近1分钟的access.log，筛选出单位时间内请求数超阈值的IP，并自动加入iptables封禁链，实现半自动化应急响应。

1、执行以下命令提取过去60秒内访问次数超过150次的IP：
tac /www/wwwlogs/yoursite.log | awk -v st="$(date -d '1 minutes ago' '+%d/%b/%Y:%H:%M:%S')" -v et="$(date '+%d/%b/%Y:%H:%M:%S')" '$4 ~ /\[.*\]/ && substr($4,2,20) >= st && substr($4,2,20) 150 {print $2}'

2、将上述结果逐条封禁：
tac /www/wwwlogs/yoursite.log | awk -v st="$(date -d '1 minutes ago' '+%d/%b/%Y:%H:%M:%S')" -v et="$(date '+%d/%b/%Y:%H:%M:%S')" '$4 ~ /\[.*\]/ && substr($4,2,20) >= st && substr($4,2,20) 150 {print $2}' | while read ip; do iptables -C INPUT -s $ip -j DROP 2>/dev/null || iptables -I INPUT -s $ip -j DROP; done

3、确认新增规则：
iptables -L INPUT -n --line-numbers | tail -10

四、利用fail2ban配合自定义filter封禁CC攻击源

Fail2ban持续监控Nginx日志，一旦匹配到预设的CC攻击特征（如单IP短时高频访问同一动态URL），即触发iptables封禁动作，具备持续防护能力。

1、创建自定义filter文件：
vi /etc/fail2ban/filter.d/nginx-cc.conf

2、在文件中写入匹配规则：
[Definition]
failregex = ^ -.*"(GET|POST).*\/api\/login.*HTTP.
ignoreregex =

3、创建对应jail配置：
echo -e "[nginx-cc]\nenabled = true\nfilter = nginx-cc\nlogpath = /www/wwwlogs/*.log\nmaxretry = 5\nfindtime = 60\nbantime = 3600" >> /etc/fail2ban/jail.local

4、重启fail2ban服务启用新规则：
fail2ban-client reload

5、查看实时封禁状态：
fail2ban-client status nginx-cc