宝塔面板不支持php层ip白名单,需通过nginx配置(推荐)或php脚本实现;nginx方式在server块中用allow/deny控制,注意顺序、ipv6格式及ssl端口;php方式需校验remote_addr并防代理ip误判,且有性能损耗。
宝塔面板本身不提供 PHP 层面的 IP 白名单功能,所谓“PHP 限制 IP 访问”,实际是通过 Web 服务器(Nginx/Apache)配置或 PHP 脚本逻辑实现,不是宝塔某个开关一开就生效。
宝塔 Nginx 配置白名单(推荐)
这是最常用、最高效的方式:在站点配置中直接用 allow/deny 控制访问,请求根本不会到达 PHP 解析层。
操作路径:宝塔 → 网站 → 对应站点 → 配置文件 → 在 server 块内 location 外添加:
allow 192.168.1.100;
allow 2001:db8::1;
deny all;
注意点:
立即学习“PHP免费学习笔记(深入)”;
-
allow和deny顺序重要:规则按书写顺序匹配,遇到第一条匹配即生效 - IPv6 地址必须用方括号包裹(如
[2001:db8::1])在部分旧版 Nginx 中才生效,但宝塔默认 Nginx 1.20+ 可直接写 - 若站点启用了 SSL,确保白名单规则写在
server { listen 443 ssl; ... }块内,而不是仅写在 80 端口块里 - 宝塔「防火墙」插件 ≠ Nginx 白名单,它工作在系统 iptables 层,无法区分不同站点,慎用
PHP 脚本内手动校验(灵活但有性能损耗)
适合需要动态判断(比如从数据库读取白名单)、或需记录拒绝日志等场景。但注意:这要求请求已进入 PHP,防御能力弱于 Nginx 层。
在入口文件(如 index.php)顶部插入:
$allowed_ips = ['123.45.67.89', '2001:db8::2'];
$client_ip = $_SERVER['REMOTE_ADDR'] ?? '';
if (!in_array($client_ip, $allowed_ips)) {
http_response_code(403);
exit('Forbidden');
}
关键提醒:
-
$_SERVER['REMOTE_ADDR']在反向代理(如 CDN、Nginx 透传未设real_ip_header)下会变成代理 IP,需配合$_SERVER['HTTP_X_REAL_IP']并验证可信来源 - 不要把白名单硬编码在生产环境;建议从配置文件或环境变量读取,避免代码泄露风险
- 每次请求都执行判断,高并发下比 Nginx 规则多一次 PHP 解析开销
宝塔「网站监控报表」和「安全」插件不能替代白名单
用户常误以为开启这些功能就能拦 IP,其实:
- 「网站监控报表」只做统计,不干预请求流
- 「安全」插件里的「IP 黑名单」是基于请求特征(如高频 404、SQL 关键字)自动封禁,属于事后响应,且默认不启用白名单模式
- 其「自定义规则」仅支持简单正则匹配 URL 或 UA,不支持基于源 IP 的放行逻辑
换句话说:想靠宝塔界面点几下实现白名单,目前做不到。必须改配置或写代码。
常见失效原因排查
白名单配完没效果?优先检查这几处:
- Nginx 配置保存后是否点击了「重载配置」(不是重启 Nginx)—— 宝塔界面上那个蓝色按钮
- 是否在错误的
server块里加规则(比如写了两个server,结果加到了监听 8080 的测试站里) - 本地测试用 127.0.0.1,但规则里没加;或用了 IPv6 localhost(
::1),却只写了 IPv4 - CDN 开启后,
$_SERVER['REMOTE_ADDR']恒为 CDN 节点 IP,此时必须依赖X-Forwarded-For,且 Nginx 需先配置set_real_ip_from和real_ip_header
白名单本质是信任链问题:你得清楚流量经过了几层代理,每一层是否可信,以及在哪一层做控制最合适。别指望一个地方配置能覆盖所有网络路径。
