当网站做到一定程度时，说不准就会引来某些不良人士的攻击，以及扫描漏洞，或者是当你网站有起色后，会有某些禽兽直接采集你的网站，偏偏特么的采集网站比自己的网站权重还高，这简直没法忍。但是你们发现没，来攻击网站的ip大多数是国外的，采集站也大多用的国外空间，因为备案太麻烦。

这也就意味着如果能屏蔽国内ip访问网站，能干掉70%的CC或者ddos攻击，前段时间番豆网也被攻击了，然后我在网上找了很多屏蔽国外ip访问的方法，测试了很多个发现根本没卵用，还有些说利用域名解析禁止掉海外IP访问网站，意思就是在阿里云域名解析上，阿里云有一个境外解析的线路，如下图所示，设置境外ji解析线路ip为127.0.0.1，然后境外的用户访问网站就会变成访问本地ip，我shi试了一下，结果就特么两个字：放屁，毫无作用，设置了境外解析线路，境外依然能正确的访问网站

最后用谷歌搜索到一个解决方法，不得不说，百度和谷歌差距还是蛮大的，很多问题搜到死都找不到解决方案，谷歌却能找到，百度商业性质太强了，好了话不多说直接看方法：

我用的是CentOS，先运行如下语句获取国内IP网段，保存到此目录下：root/china_ssr.txt

wget -q --timeout=60 -O- 'http://ftp.apnic.net/apnic/stats/apnic/delegated-apnic-latest' | awk -F\| '/CN\|ipv4/ { printf("%s/%d\n", $4, 32-log($5)/log(2)) }' > /root/china_ssr.txt

将下面脚本保存为/root/allcn.sh ，设置可执行权限

mmode=$1#下面语句可以单独执行，不需要每次执行都获取网段表
#wget -q --timeout=60 -O- 'http://ftp.apnic.net/apnic/stats/apnic/delegated-apnic-latest' | awk -F\| '/CN\|ipv4/ { printf("%s/%d\n", $4, 32-log($5)/log(2)) }' > /root/china_ssr.txtCNIP="/root/china_ssr.txt"gen_iplist() {cat <<-EOF$(cat ${CNIP:=/dev/null} 2>/dev/null)
EOF
}flush_r() {
iptables  -F ALLCNRULE 2>/dev/null
iptables -D INPUT -p tcp -j ALLCNRULE 2>/dev/null
iptables  -X ALLCNRULE 2>/dev/null
ipset -X allcn 2>/dev/null
}mstart() {
ipset create allcn hash:net 2>/dev/null
ipset -! -R <<-EOF 
$(gen_iplist | sed -e "s/^/add allcn /")
EOFiptables -N ALLCNRULE 
iptables -I INPUT -p tcp -j ALLCNRULE 
iptables -A ALLCNRULE -s 127.0.0.0/8 -j RETURN
iptables -A ALLCNRULE -s 169.254.0.0/16 -j RETURN
iptables -A ALLCNRULE -s 224.0.0.0/4 -j RETURN
iptables -A ALLCNRULE -s 255.255.255.255 -j RETURN
#可在此增加你的公网网段，避免调试ipset时出现自己无法访问的情况iptables -A ALLCNRULE -m set --match-set allcn  src -j RETURN 
iptables -A ALLCNRULE -p tcp -j DROP }if [ "$mmode" == "stop" ] ;then
flush_r
exit 0
fiflush_r
sleep 1
mstart

执行下面代码，执行后国外ip将无法打开网站

/root/allcn.sh

如果要停止的话执行下面这个命令可恢复国外ip访问网站：

/root/allcn.sh stop

注意：代码是建立在你懂脚本命令的情况下，新手小白不要瞎搞，不然会导致所有人访问不了你的服务器（包括网站和远程连接）