Linux防火墙配置指南：使用IPSet与GeoIP精准拦截海外流量

在服务器安全防护领域，拦截海外访问流量是一项广泛采用且效果显著的策略。然而，如何实现高效、稳定且易于维护的拦截方案，其中包含诸多技术细节与最佳实践。

直接给出核心结论：兼顾稳定性、性能与可维护性的最优方案，是结合使用 ipset 与 iptables。至于另一种方案——编译内核模块 xt_geoip，虽然内存占用较低，但其编译过程复杂、内核兼容性要求苛刻，对于大多数生产环境而言，并非首选推荐。

为何不应在 iptables 中直接编写数百条规则？

根本原因在于性能损耗。iptables 的规则匹配采用线性顺序执行，每个进入服务器的数据包都必须从规则链的第一条开始，逐条进行条件比对，直至命中允许（ACCEPT）或丢弃（DROP）动作。

试想，当规则数量累积至数百条时，每一个入境连接请求都需要经历数百次判断。在高并发访问场景下，CPU 资源将大量消耗在遍历规则链上，直接导致 SSH 登录延迟、Web 服务响应缓慢等问题。

而 ipset 的巧妙之处在于，它将需要匹配的 IP 地址段（例如所有中国 IP）存储在一个高效的哈希表中。在 iptables 中，仅需一条规则：-m set --match-set cn_ips src，即可完成一次时间复杂度为 O(1) 的快速查找。实际测试表明，在主流配置的服务器上，此方案带来的网络吞吐量损失微乎其微。

因此，请务必遵循正确的操作流程：首先创建 ipset 集合并导入 IP 段数据，然后让 iptables 规则去引用该集合。切勿使用循环脚本批量添加数百条形如 iptables -A INPUT -s x.x.x.x/xx -j ACCEPT 的规则，这无异于主动制造一个性能瓶颈。

如何获取并导入最新的中国 IP 地址段？

最权威的数据来源是亚太互联网络信息中心（APNIC）每日发布的 delegated-apnic-latest 文件。不过，其原始格式并非直接的 CIDR 网段，需要进行简单的格式转换。

以下组合命令适用于 CentOS、RHEL、Ubuntu 等主流 Linux 发行版，可一次性完成数据获取、格式转换及导入 ipset 的全过程：

curl -s http://ftp.apnic.net/apnic/stats/apnic/delegated-apnic-latest \
  | awk -F\| '$2=="CN" && $3=="ipv4" { printf "%s/%d\n", $4, 32-log($5)/log(2) }' \
  | grep -v "0.0.0.0" > /tmp/cn_cidr.txt

ipset create cn_ips hash:net
while read cidr; do
  [ -n "$cidr" ] && ipset add cn_ips "$cidr"
done < /tmp/cn_cidr.txt

执行时需要注意以下几点：

• 命令中的 log($5)/log(2) 是关键计算，负责将 IP 地址数量转换为对应的 CIDR 前缀长度（例如，65536 个地址对应 /16 网段）。
• grep -v "0.0.0.0" 用于过滤数据文件中可能存在的无效条目。
• 若执行时提示集合已存在，可先使用 ipset flush cn_ips 清空现有内容，或使用 ipset destroy cn_ips 删除后重建。

如何设计 iptables 规则链，避免“误杀”必要流量？

一个典型的错误是直接添加规则：iptables -A INPUT -m set ! --match-set cn_ips src -j DROP。这将导致所有非中国 IP 的流量被丢弃，包括服务器本地的环回地址（127.0.0.1）、内部管理网络以及 Docker 等容器创建的虚拟网桥流量，可能引发服务异常甚至导致远程连接中断。

正确的做法是建立清晰的放行优先级。推荐创建一个自定义链来专门处理地理过滤逻辑：

iptables -N GEO_FILTER
iptables -A INPUT -j GEO_FILTER

# 第一步：优先放行所有可信的本地及内网流量
iptables -A GEO_FILTER -s 127.0.0.1 -j RETURN
iptables -A GEO_FILTER -s 10.0.0.0/8 -j RETURN
iptables -A GEO_FILTER -s 172.16.0.0/12 -j RETURN
iptables -A GEO_FILTER -s 192.168.0.0/16 -j RETURN

# 第二步：放行位于中国 IP 集合中的流量
iptables -A GEO_FILTER -m set --match-set cn_ips src -j RETURN

# 第三步：处理剩余流量（正式上线前建议先记录日志进行观察）
iptables -A GEO_FILTER -j LOG --log-prefix "GEO_DROP: "
iptables -A GEO_FILTER -j DROP

此结构的关键在于理解 RETURN 动作：它并非“跳过”，而是跳出当前自定义链，返回到调用它的主链（此处为 INPUT 链）并继续执行后续规则。因此，必须确保 INPUT 链的默认策略（Policy）设置为 ACCEPT，否则所有未被显式放行的流量仍会被链的默认策略拒绝。

此外，强烈建议在最终执行 DROP 之前，先配置 LOG 规则并添加易于识别的日志前缀。这样，可以通过 dmesg | grep GEO_DROP 命令，快速验证拦截是否按预期工作，便于后续排查问题。

确保规则持续生效：定时更新与关键注意事项

APNIC 的数据每日更新，但中国 IP 地址段总体稳定，每周更新一次完全足够。可通过配置定时任务实现自动更新。

首先，将更新逻辑写入脚本，例如 /root/update-cn-ips.sh。脚本编写需注意以下核心要点：

• 使用 ipset flush cn_ips 清空集合，而非直接销毁（destroy）后重建。因为直接销毁会导致正在引用该集合的 iptables 规则报错 “set not found”。
• 加入完善的错误处理机制，如下载失败时应退出脚本并触发告警，避免因静默失败导致 IP 集合为空，造成全部流量被误拦截。

然后，通过 crontab 添加每周任务：

0 3 * * 1 /root/update-cn-ips.sh

更新完成后，切勿忘记保存 iptables 规则，否则服务器重启后所有手动配置将会丢失：

• CentOS/RHEL 系统: iptables-sa ve > /etc/sysconfig/iptables
• Debian/Ubuntu 系统: iptables-sa ve > /etc/iptables/rules.v4

最后是一个极易被忽视的陷阱：如果系统同时启用了 ufw 或 firewalld 这类更上层的防火墙管理工具，它们可能会在后台覆盖或清理你手动配置的 iptables 规则。在部署本方案前，请务必确认它们已被停止并禁用：

systemctl stop ufw firewalld
systemctl disable ufw firewalld

遵循以上步骤与最佳实践，你便能构建一个高效、稳定且易于维护的海外流量拦截体系，在显著提升服务器安全性的同时，确保核心服务性能不受影响。