有没有办法通过 UFW 优雅地屏蔽所有来自中国的访问？

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

这是一个创建于 2667 天前的主题，其中的信息可能已经有所发展或是发生改变。

最近有一台北京的 Ubuntu 服务器，提供了某种服务，目标对象是国外用户，因此想屏蔽掉所有国内的访问。

我目前的方法是：

wget http://www.ipdeny.com/ipblocks/data/countries/cn.zone
while read line; do sudo ufw deny from $line to any port 1984; done < cn.zone

但是这样得话就有 7000+的 UFW 规则，我个人有种感觉就是会大大拖慢其余正常请求的速度（如 80 ），毕竟会对者 7000 条逐条匹配。iptables 同理。（也可能不影响效率，是我臆想出来的）

不知道有没有更优雅的办法呢？谢谢大家。

ufw

line

屏蔽

sudo

35 条回复 • 2017-08-05 12:52:59 +08:00

stabc

2017-08-04 05:26:42 +08:00

IP ZONE 入库到本地？

dangyuluo

2017-08-04 05:46:27 +08:00

@stabc 能否详解一下？谢谢。

lydasia

2017-08-04 06:02:23 +08:00

7000 还好吧，不过你可以了解下 ipset。

fox0001

2017-08-04 06:27:50 +08:00 via Android

我们公司也有类似的需求，就是把中国 IP 段，都该为二进制数，放到内存，然后逐一对比。不过仅限于 IPv4

fox0001

2017-08-04 06:30:12 +08:00 via Android

对了，除非你们有另一台国外服务器可以远程过去，否则，要留一个后门（不过滤自己的 IP ）用于登录维护

WildCat

2017-08-04 06:37:47 +08:00 via iPhone

haproxy ？

Counter

2017-08-04 06:43:48 +08:00 via iPhone

@WildCat 放个名词在这里是想干嘛？？讲详细点啦

QAPTEAWH

2017-08-04 08:04:19 +08:00 via iPhone

主页放敏感词等 q 认证..

lydasia

2017-08-04 08:07:08 +08:00 via iPhone

@QAPTEAWH 思路清奇。。

breeswish

2017-08-04 08:13:13 +08:00

ufw 底层是 iptables。然后楼主需要加强算法和数据结构知识，比如防火墙的高效实现这种问题是面向本科生的校招题目： https://www.zhihu.com/question/42700825

nfroot

2017-08-04 08:15:12 +08:00

用三级域名模拟敏感词

比如 xxx.com 被关键词和谐了（现在有不少被和谐了域名关键词的）
你就取名 xxx.com.v2ex.com (如果 v2ex.com 是你的域名)

这样墙就会帮你阻挡。

terence4444

2017-08-04 08:15:18 +08:00 via iPhone

你愿不愿意被 Q ？在每个页面的 meta 里塞几个敏感词即可

49gd

2017-08-04 08:15:54 +08:00

北京的服务器国外访问效果如何

goodniuniu

2017-08-04 08:23:02 +08:00

能让网络层面做？路由不可达。

d847198075

2017-08-04 08:23:55 +08:00 via Android

@terence4444 lz 说了，服务器在北京，怎么被墙？٩(๑`^´๑)۶

dangyuluo

2017-08-04 08:29:30 +08:00

@QAPTEAWH 因为服务器在墙内所以这个方法不可行，而且容易招致风险。

@breeswish 我知道 UFW 底层是 iptables，而且我也是从 iptables 学起，不过 UFW 真的是懒人必备。。至于 iptables 的底层实现，恕我不是 CS 专业的真没有深入学习，惭愧。

@49gd 效果还不错，均速下载在 500KB/s 左右

dangyuluo

2017-08-04 08:30:20 +08:00

@goodniuniu 用的是青云的服务器，如果网络层面 ban 掉的话就是要在操作面板里进行了，7000 条手工操作量不可行。而且也没看到这里的 API。

terence4444

2017-08-04 08:40:42 +08:00 via iPhone

@d847198075 好吧，想当然了。但是服务器放在国内，国外访问的时候应该也会偶然反向被 Q 吧？

d847198075

2017-08-04 08:47:16 +08:00 via Android

@terence4444 放国内，有关键词的话，很容易被拔网线了(滑稽)

ETiV

2017-08-04 08:53:03 +08:00 via iPhone

啥服务
http 的话，用 ningx+geo module，直接给 country == cn 的 403 掉

webjin1

2017-08-04 08:58:13 +08:00

linux 黑洞路由命令
net-tool 用法
route add -host 10.10.0.1 127.0.0.1 -blackhole
iprouter2 用法
$ ip route add blackhole 192.168.32.128/32

supermaxisme

2017-08-04 09:02:20 +08:00

iptables 关于规则的匹配不是逐条比对，

JackBlack2006

2017-08-04 09:07:36 +08:00

好像是叫 Geo IP 来着，碰到过一个外国软件官网就是这样屏蔽 TC 大陆 IP 的

This site is not available.

Block reason: Gateway GEO-IP Filter Alert

IP address: 删除

Connection initiated from country: China

lee015

2017-08-04 09:37:46 +08:00 via Android

把中国 ip 段加 ipset 里，直接 iptables 按 ipset reject 掉。参考 ss-rule 代理中国 ip 之外的所有 ip。
中国 ip 段这样取的： https://gist.github.com/jackytang/3c50a376535710aa6f33

dangyuluo

2017-08-04 10:58:48 +08:00 via iPhone

@ETiV 不是 http 服务，是的话就容易了。

lzhr

2017-08-04 11:04:54 +08:00 via Android

检测用户系统语言？

knightlhs

2017-08-04 11:21:52 +08:00

智能 DNS 海外来源访问给正确 ip 地址国内访问给错误 ip 地址不就行了？
费劲的研究啥防火墙研究 iptables 干嘛？走错路了

dangyuluo

2017-08-04 12:05:24 +08:00 via iPhone

@knightlhs 你这番话让我想起了一个故事：某个工厂雇佣了好几个博士，投资了几百万美元就是为了开发一套系统来分拣出空箱子。中国老板则很“聪明”地在流水线旁边放了一个大风扇把空箱子吹走。
结果是第一个老板通过开发积累了经验，得到了更加自动化的生产流程技术。第二个老板则只是图走捷径，到最终也只是一个加工者。

@lzhr 不是 http 服务，语言的方法不太可行。

dangyuluo

2017-08-04 12:06:53 +08:00 via iPhone

@knightlhs 至于为什么不能用现有的智能 NameServer 服务，原因再简单不过了，不是所有设备和软件都提供域名支持的。

d847198075

2017-08-04 12:52:59 +08:00 via Android

@knightlhs Good!