宝塔面板开启防火墙教程

本文详细介绍了在宝塔面板中主动拦截恶意IP的三种高效防护方式：通过面板界面一键启用系统防火墙并配置端口放行与IP黑名单、使用SSH命令行手动部署iptables规则实现底层网络层封禁，以及启用隐藏但功能完整的Nginx Lua WAF模块进行应用层精准拦截；无论您是新手还是运维人员，都能根据服务器环境和安全需求选择最适合的方法，快速构建多层级、可落地的Web安全防线。

如果您在宝塔面板中需要主动拦截恶意IP地址，但发现防火墙功能未启用或无法生效，则可能是系统防火墙模块处于关闭状态或配置未正确加载。以下是开启宝塔面板内置系统防火墙并实现IP拦截的具体操作步骤：

一、通过宝塔面板界面启用系统防火墙

宝塔面板集成的系统防火墙基于iptables或firewalld（取决于操作系统），可直接在面板中开关并管理端口与IP规则。该方式无需命令行操作，适合基础防护需求。

1、登录宝塔面板，在左侧菜单栏点击安全选项。

2、在安全页面中，找到系统防火墙模块，确认其状态显示为“已停止”。

3、点击右侧的启动按钮，等待状态变为“正在运行”。

4、启动后，点击放行端口区域下方的添加端口，输入网站常用端口如80、443、22等，并点击提交。

5、返回系统防火墙主界面，点击IP黑名单标签页，输入需拦截的恶意IP地址（支持单IP、CIDR网段，如192.168.1.100或192.168.1.0/24），点击加入黑名单。

二、通过SSH命令行启用并配置iptables防火墙

当面板界面中系统防火墙不可见或启动失败时，可手动调用底层iptables服务进行控制。该方法绕过面板限制，适用于CentOS 7以下或Debian/Ubuntu系统。

1、使用SSH工具连接服务器，执行命令：systemctl status iptables，确认服务是否安装并处于inactive状态。

2、若未安装，执行：yum install -y iptables-services（CentOS）或apt-get install -y iptables-persistent（Ubuntu/Debian）。

3、清空现有规则：iptables -F，并设置默认策略：iptables -P INPUT DROP（谨慎操作，建议先放行SSH端口）。

4、放行必要端口：iptables -A INPUT -p tcp --dport 22 -j ACCEPT，iptables -A INPUT -p tcp --dport 80 -j ACCEPT，iptables -A INPUT -p tcp --dport 443 -j ACCEPT。

5、封禁指定IP：iptables -A INPUT -s 203.0.113.25 -j DROP（将203.0.113.25替换为实际恶意IP）。

6、保存规则：service iptables save（CentOS 6）或iptables-save > /etc/iptables/rules.v4（Ubuntu/Debian）。

三、利用Nginx WAF模块实现应用层IP拦截

宝塔面板内置的ngx_lua_waf模块虽被隐藏于6.X版本界面，但仍完整存在于Nginx配置中，可用于在HTTP请求进入PHP或后端前实时拦截恶意IP，属于更精细的应用层防护。

1、进入宝塔面板，点击软件管理 → 找到已安装的Nginx → 点击配置修改。

2、在打开的Nginx配置文件中，使用Ctrl+F搜索#include luawaf.conf;，该行通常位于第13行或第25行附近。

3、删除该行开头的#符号，使配置生效，例如改为：include luawaf.conf;。

4、点击右上角保存，然后返回Nginx管理页面，点击重启。

5、打开文件管理，进入目录/www/server/nginx/waf/，编辑config.lua文件。

6、定位到ipBlocklist={}字段，将其修改为包含目标IP的数组格式，例如：ipBlocklist={"203.0.113.25","198.51.100.0/24"}。

7、保存config.lua文件，无需重启Nginx，WAF模块会自动加载新规则。

文中关于的知识介绍，希望对你的学习有所帮助！若是受益匪浅，那就动动鼠标收藏这篇《宝塔面板开启防火墙教程》文章吧，也可关注golang学习网公众号了解相关技术文章。