wget -O cnblock.sh https://raw.githubusercontent.com/shuguangnet/ipblocker/refs/heads/main/cnblock.sh && chmod +x cnblock.sh && sudo ./cnblock.sh直接运行脚本会显示交互式菜单:
sudo ./cnblock.sh菜单选项:
- 查看当前已封禁端口
- 封禁端口
- 解封端口
- 检查服务状态(简易版)
- 检查守护进程详细状态
- 重新下载IP列表并更新
- 退出
可以通过命令行参数直接封禁指定端口:
sudo ./cnblock.sh 80 # 封禁80端口
sudo ./cnblock.sh 443 # 封禁443端口- 支持iptables和ipset的Linux系统
- root权限
- 适用于大多数基于Debian的系统(如Ubuntu)和CentOS/RHEL系统
脚本使用ipset创建一个包含所有中国大陆IP段的哈希表,然后通过iptables规则将特定端口的来源IP与此表进行匹配,实现高效的屏蔽操作。相比传统的直接在iptables中添加大量规则的方式,此方法大大提高了性能和可维护性。
- 脚本需要root权限才能运行
- 初次运行时会自动安装所需依赖(ipset, iptables, wget)
- IP段列表基于公开数据,可能存在轻微偏差
- 系统重启后,规则会自动加载(通过systemd服务或网络启动脚本)
如果遇到问题,可以使用脚本中的"检查守护进程详细状态"功能,它会提供服务状态的详细诊断信息。常见问题包括:
- IP集合未加载:检查ipset是否正确安装
- 规则未应用:检查iptables服务是否正常运行
- 守护进程未启动:检查systemd服务状态
欢迎提交问题报告和改进建议!
MIT许可证