宝塔Linux面板中禁止使用IP直接访问网站的设置方法

在Linux服务器环境中，宝塔面板因其易用性和丰富的功能成为网站管理的热门选择。然而，直接通过IP地址访问网站可能带来安全风险，例如恶意扫描、流量攻击或域名未备案时的违规访问。本文站长工具网将系统梳理宝塔Linux面板中禁止IP直接访问的多种方法，涵盖Nginx配置修改、默认站点设置、端口策略调整及安全插件应用，帮助站长根据实际需求选择最适合的方案。

一、基础方案：通过Nginx配置文件禁止IP访问

1. 直接修改网站配置文件

此方法通过在Nginx配置文件中添加正则表达式规则，识别并拦截IP格式的请求。具体步骤如下：

1. 定位配置文件：登录宝塔面板，进入“网站”模块，选择目标站点，点击“配置修改”，在底部找到Nginx配置文件路径（通常为/www/server/panel/vhost/nginx/站点域名.conf）。

2. 编辑配置文件：使用SSH工具或宝塔内置终端，以root权限编辑配置文件。在server块内添加以下代码：

   if ($host ~* "^\d{1,3}(\.\d{1,3}){3}$") {
     return 403;
   }

   代码解析：$host变量获取请求的主机名，正则表达式^\d{1,3}(\.\d{1,3}){3}$匹配IPv4地址格式（如192.168.1.1），若匹配成功则返回403禁止访问状态码。

3. 保存并重载配置：保存文件后，在宝塔面板中重启Nginx服务，或执行命令nginx -s reload使配置生效。

适用场景：适用于单站点环境，需手动为每个站点添加规则。若服务器托管多个站点，需逐一配置。

2. 设置默认站点拦截未绑定域名

通过创建默认站点，拦截所有未在宝塔面板绑定的域名及IP请求，实现全局防护：

1. 添加默认站点：在宝塔面板“网站”模块中，新建一个空白站点（如命名为default_site），不绑定任何域名。

2. 修改默认站点配置：编辑该站点的Nginx配置文件，添加以下内容：

   server {
     listen 80 default_server;
     listen 443 ssl default_server;
     server_name _;
     ssl_certificate /path/to/cert.pem; # 替换为实际证书路径
     ssl_certificate_key /path/to/key.pem;
     return 444; # 返回非标准状态码关闭连接，也可改为403或404
   }

   关键点：

• default_server参数指定该站点为默认服务器，处理所有未匹配的请求。

• 若网站启用HTTPS，需配置SSL证书路径；若未启用，可删除listen 443相关行。

• return 444会直接关闭连接，避免返回响应体，增强防护效果。

3. 测试效果：通过IP地址访问服务器，应返回空响应或错误页面，而绑定域名的访问正常。

优势：一次配置覆盖所有站点，适合多站点服务器；可拦截恶意域名解析和IP扫描。

二、进阶方案：端口策略与反向代理

1. 修改服务端口并限制IP访问

若网站使用非标准端口（如8080、8443），可通过以下步骤禁止IP访问：

1. 更改端口：在宝塔面板“网站”模块中，修改站点的SSL端口（如从443改为8443）和HTTP端口（如从80改为8080）。

2. 配置Nginx：编辑站点配置文件，在server块中添加端口监听和IP限制：

   server {
     listen 8080;
     server_name 域名; # 替换为实际域名
     if ($host !~* "^域名$") { # 替换为实际域名
       return 403;
     }
     # 其他配置...
   }

   逻辑：仅允许请求头中的Host字段与指定域名完全匹配，否则返回403。

3. 防火墙放行端口：在服务器安全组和宝塔面板防火墙中，仅放行修改后的端口（如8080、8443），关闭原80/443端口。

适用场景：需配合CDN或反向代理使用，避免直接暴露服务器IP。

2. 结合WAF反向代理实现IP隔离

通过部署Web应用防火墙（如雷池WAF），将流量代理至宝塔服务器，隐藏真实IP：

1. 安装WAF：以雷池WAF为例，通过Docker部署并配置管理界面。

2. 配置代理规则：在WAF中添加防护站点，设置上游服务器为宝塔服务器的内网IP和端口（如http://127.0.0.1:8080）。

3. 修改宝塔配置：在宝塔面板中，将网站监听端口改为本地回环地址（如127.0.0.1:8080），避免直接对外暴露。

4. 测试访问：通过域名访问网站，WAF将拦截所有非域名请求，包括IP直连。

优势：提供DDoS防护、CC攻击防御等附加安全功能，适合高安全性需求场景。

三、安全插件与工具辅助

1. 使用宝塔Nginx防火墙插件

宝塔官方提供的Nginx防火墙插件支持一键禁止海外访问、IP段封禁等功能：

1. 安装插件：在宝塔面板“软件商店”中搜索“Nginx防火墙”，点击安装。

2. 配置规则：进入插件设置，开启“禁止海外访问”或手动添加IP封禁规则。

3. 生效范围：可选择全局生效或仅对特定站点生效。

注意：该插件依赖GeoIP数据库，可能存在误判情况，需定期更新数据库。

2. 利用Cloudflare等CDN服务

通过CDN隐藏服务器真实IP，结合页面规则禁止IP访问：

1. 配置CDN：将网站域名解析至Cloudflare，启用代理模式（橙色云图标）。

2. 设置防火墙规则：在Cloudflare防火墙中添加规则，匹配Host字段为IP地址的请求，选择“阻断”动作。

3. 测试效果：直接通过IP访问将被CDN拦截，返回错误页面。

优势：无需修改服务器配置，适合无技术背景的用户；提供全球加速和DDoS防护。

四、常见问题与排查

1. 配置后仍可通过IP访问

• 原因：可能存在其他Nginx配置文件覆盖规则，或默认站点未正确配置。

• 排查步骤：

1. 执行nginx -t检查配置语法错误。

2. 查看Nginx错误日志（通常位于/www/server/nginx/logs/error.log），定位具体问题。

3. 确保所有相关站点的配置文件中均添加了IP拦截规则。

2. HTTPS站点返回“连接重置”

• 原因：默认站点配置中未正确处理SSL证书，或端口冲突。

• 解决方案：

1. 检查默认站点的SSL证书路径是否正确。

2. 确保宝塔面板和服务器安全组放行了443端口（或自定义HTTPS端口）。

3. 影响SEO或用户体验

• 建议：对所有非域名请求返回404状态码（而非403），避免搜索引擎误判为低质量内容。修改Nginx规则为：

  if ($host ~* "^\d{1,3}(\.\d{1,3}){3}$") {
    return 404;
  }

五、总结与建议

禁止IP直接访问网站是提升服务器安全性的重要措施，管理员可根据实际需求选择以下方案：

• 单站点防护：直接修改网站Nginx配置文件，添加IP拦截规则。

• 多站点全局防护：配置默认站点拦截未绑定域名请求。

• 高安全性需求：结合WAF反向代理或CDN服务，隐藏真实IP。

• 便捷管理：使用宝塔Nginx防火墙插件或Cloudflare等工具，简化配置流程。

实施后，务必通过浏览器和工具（如curl -I http://服务器IP）测试访问效果，确保规则生效且不影响正常业务。 定期检查服务器日志，监控异常访问请求，及时调整防护策略。