宝塔面板防火墙白名单设置教程

本文详解如何安全、稳定地为宝塔面板配置IP白名单访问控制，核心推荐优先使用宝塔内置的「IP访问限制」功能——操作直观、不干扰系统防火墙、实时生效，避免因误配firewalld规则导致自我封锁的风险；同时深入剖析常见陷阱：如混淆「防火墙」与「IP访问限制」模块、firewalld规则顺序错误（必须先allow后reject并持久化）、Cloudflare代理下需添加其全部IP段并配合Nginx真实IP配置、MySQL远程访问需同步修改bind-address、用户主机权限及防火墙端口白名单三者缺一不可。每一步都直击运维痛点，助你一次配对、长期安心。

宝塔面板后台只能让指定IP访问，怎么配最稳？

直接结论：优先用宝塔内置的「IP访问限制」功能，它不碰系统防火墙、实时生效、界面直观，适合绝大多数运维场景。硬要上系统级防护（如 firewalld）反而容易误封自己，尤其当你没留SSH备用通道时。

常见错误现象是：开了白名单却还是能从其他IP登录——大概率因为只配置了宝塔防火墙（安全 → 防火墙），但没启用「IP访问限制」（安全 → IP访问限制），这两个是独立模块，名字像但作用完全不同。

• 进入宝塔面板后，点左侧「安全」→ 找到「IP访问限制」区域，不是「防火墙」
• 点击「添加规则」，输入单个IP（如 203.203.203.203）或CIDR网段（如 192.168.1.0/24）
• 务必勾选「仅允许白名单IP访问」，否则规则只是“备注”，不起拦截作用
• 提交后看右上角是否提示「IP访问限制已开启」；没提示=没生效

用 firewalld 做底层防护，为什么顺序和 reject 很关键？

系统防火墙规则是按顺序匹配的，先写的先执行。如果把 reject 或 drop 规则放在前面，后面所有 allow 都无效——这是新手最常踩的坑。

正确顺序必须是：放行白名单 → 拒绝其他所有 → 重载。而且要用 firewall-cmd --permanent 写入持久化规则，否则重启就失效。

• 放行指定IP访问面板端口：firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="203.203.203.203" port port="8888" protocol="tcp" accept'
• 再拒绝其余所有：firewall-cmd --permanent --add-rich-rule='rule family="ipv4" port port="8888" protocol="tcp" reject'
• 最后重载：firewall-cmd --reload
• 验证是否生效：firewall-cmd --list-rich-rules | grep 8888，应看到两条规则

用了 Cloudflare，白名单怎么加才不把自己拦在外面？

Cloudflare 会代理所有请求，你服务器看到的 REMOTE_ADDR 是 Cloudflare 节点IP，不是真实访客IP。如果你只在宝塔「IP访问限制」里加了自己办公室IP，那通过 Cloudflare 访问时永远 403。

必须把 Cloudflare 官方公布的全部 IPv4 和 IPv6 段加入白名单，否则面板打不开，连带网站也可能 502。

• 打开 https://www.cloudflare.com/ips/，复制全部 IPv4 地址段（每行一个）
• 在宝塔「安全 → IP访问限制」中逐条粘贴，或合并成逗号分隔（注意别换行漏掉）
• 同时确认 Nginx 配置中已启用真实IP获取：检查站点配置里是否有 set_real_ip_from 和 real_ip_header CF-Connecting-IP
• 如果还用 CDN 模式，宝塔网站防火墙也得开「CDN 模式」，否则会误判并封锁 Cloudflare 节点

数据库远程访问也要白名单，但 MySQL 用户权限和防火墙得配齐

只开防火墙端口或只建用户都不够。MySQL 默认绑 127.0.0.1，不改 bind-address 就算放行了 3306 端口，连接也会被拒绝。

而且 phpMyAdmin 创建用户时填 % 是高危操作，等于开放给任意IP——必须精确到具体IP或最小网段。

• 修改 /www/server/mysql/etc/my.cnf，把 bind-address = 127.0.0.1 改成 bind-address = 0.0.0.0（或服务器内网IP）
• 重启 MySQL：宝塔 → 数据库 → MySQL 右侧【重启】
• 在 phpMyAdmin「用户」页新建用户，「主机」字段填 192.168.1.100 或 203.0.113.%，不要用 %
• 进宝塔「安全 → 防火墙」，找到 3306 端口右侧的【设置】，勾选「IP白名单」并填入同一批IP

最容易被忽略的是：改完 my.cnf 忘记重启 MySQL，或者防火墙里开了 3306 却没点那个小齿轮进「设置」配白名单——两个动作缺一不可。

今天关于《宝塔面板防火墙白名单设置教程》的内容介绍就到此结束，如果有什么疑问或者建议，可以在golang学习网公众号下多多回复交流；文中若有不正之处，也希望回复留言以告知！