UFW-仅允许来自特定区域/地区的请求

要将 IP 阻止列表添加到简单防火墙 (UFW)，请使用此 Gihub 脚本中的以下说明，其内容如下所示。

衷心感谢poddmo，他是 UFW-blocklist 的作者，UFW-blocklist 是 Ubuntu ufw 的 IP 黑名单扩展。

安装

安装 ipset 包

sudo apt install ipset

备份原始 ufw after.init 示例脚本

sudo cp /etc/ufw/after.init /etc/ufw/after.init.orig

安装 ufw-blocklist 文件

git clone https://github.com/poddmo/ufw-blocklist.git
cd ufw-blocklist
sudo cp after.init /etc/ufw/after.init
sudo cp ufw-blocklist-ipsum /etc/cron.daily/ufw-blocklist-ipsum
sudo chown root:root /etc/ufw/after.init /etc/cron.daily/ufw-blocklist-ipsum
sudo chmod 750 /etc/ufw/after.init /etc/cron.daily/ufw-blocklist-ipsum

从 IPsum 下载初始 IP 阻止列表

curl -sS -f --compressed -o ipsum.4.txt 'https://raw.githubusercontent.com/stamparm/ipsum/master/levels/4.txt'
sudo chmod 640 ipsum.4.txt
sudo cp ipsum.4.txt /etc/ipsum.4.txt

启动 ufw-blocklist

sudo /etc/ufw/after.init start

注意：将阻止列表条目加载到 ipset 需要一些时间。使用以下命令查看进度：

sudo ipset list ufw-blocklist-ipsum -terse | grep 'Number of entries'

用法

ufw 使用启用、禁用和重新加载选项自动启动和停止阻止列表。Ubuntu UFW wiki 页面

还有 2 个可用的 after.init 命令：status 和 flush-all

• 状态选项显示阻止列表中的条目数、已阻止数据包的命中数以及最后 10 个日志条目。状态选项将在下面的状态部分中进一步解释。
• flush-all 选项会删除阻止列表中的所有条目，并将 iptables 命中计数器清零：

sudo /etc/ufw/after.init flush-all

从此状态，您可以手动将 IP 地址添加到列表中，如下所示：

sudo ipset add ufw-blocklist-ipsum a.b.c.d

这对于测试很有用。用于/etc/cron.daily/ufw-blocklist-ipsum下载最新列表并完全恢复阻止列表。

地位

使用状态选项调用after.init会显示阻止列表中条目的当前计数、防火墙规则的命中计数（第 1 列为命中数，第 2 列为字节数）以及最后 10 条日志消息。可以在链接的 Github 扩展帖子中看到示例输出。

更多参考：

地理封锁
封锁国家/地区
按国家/地区划分的 IP 地址范围