主要目标:
- 只允许中国大陆 IP 访问 HTTP (80) 和 HTTPS (443)
- 自动检测 SSH 端口
- 允许访问SSH 端口(自动检测)
- 拒绝其他来源访问(DROP)
- 自动安装 ipset
- 自动持久化规则(开机自加载)
- 下载中国大陆 IP 段(来自 ispip.clang.cn)
注意:如果你部署了fq协议,记得修改节点端口号,在
行3x-ui端口处修改
脚本
curl -sS -O https://raw.githubusercontent.com/woniu336/open_shell/main/safe_cn_firewall.sh && chmod +x safe_cn_firewall.sh && ./safe_cn_firewall.sh定时任务
crontab -e添加:
0 4 * * * /root/safe_cn_firewall.sh >/dev/null 2>&1表示每天凌晨 4 点自动更新最新中国IP段并重载防火墙。
查看规则
iptables -L -n -v查看ip数量
ipset list china | wc -l查看当前规则编号
iptables -L INPUT --line-numbers删除指定行(从大到小删除,避免行号变化),例如
iptables -D INPUT 8iptables -D INPUT 7iptables -D INPUT 6iptables -D INPUT 5保存当前规则
iptables-save > /etc/iptables/rules.v4安装持久化工具(如果没安装)
apt-get install iptables-persistent或手动加载(开机启动)
echo "iptables-restore < /etc/iptables/rules.v4" >> /etc/rc.local
评论 (0)