宝塔面板限制指定IP段访问有五种方法:一、修改绑定IP;二、Nginx反向代理+IP白名单;三、安全模块全局屏蔽后放行;四、systemd服务参数强制绑定;五、系统防火墙端口级限制。
如果您希望宝塔面板仅允许指定IP段访问后台管理界面,防止非授权人员通过公网直接登录,则需限制面板监听范围或叠加访问控制策略。以下是实现该目标的多种方法:
一、修改宝塔面板绑定IP地址
此方法通过限定面板服务仅监听特定内网或可信IP,从网络层阻止外部连接尝试,是最基础且高效的限制方式。
1、使用SSH登录服务器,执行命令:bt 10,进入面板设置菜单。
2、选择【修改面板端口】选项后,系统会提示是否修改面板绑定IP,输入y确认启用绑定IP功能。
3、在提示输入绑定IP时,填写允许访问的单个IP(如192.168.1.100)或CIDR格式网段(如10.0.0.0/8),多个网段用英文逗号分隔。
4、按回车确认,系统将自动重启面板服务并应用新绑定规则。
二、配置Nginx反向代理+IP白名单
当面板已暴露在公网且无法直接修改绑定IP时,可通过前置Nginx反向代理实施精细IP过滤,所有请求先经Nginx校验再转发至面板端口。
1、在宝塔【网站】中新建一个静态站点,域名可设为任意占位符(如panel-proxy),根目录随意。
2、点击该站点【设置】→【配置文件】,在server块开头插入以下白名单规则:
allow 172.16.0.0/12;
allow 192.168.0.0/16;
deny all;
3、在location /区块内添加反向代理配置:
proxy_pass https://127.0.0.1:8888;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
4、保存配置后点击【重载配置】,并确保原面板端口(如8888)已关闭外网监听或仅限127.0.0.1访问。
三、利用宝塔安全模块IP黑名单反向实现白名单
宝塔【安全】页面默认提供IP屏蔽功能,虽无直接白名单开关,但可通过“全量屏蔽+逐个放行”逻辑达成等效效果,适用于临时管控场景。
1、进入宝塔左侧菜单【安全】→【防火墙】,点击【屏蔽IP】按钮。
2、在IP输入框中填入0.0.0.0/0,备注填写“全局屏蔽”,点击【屏蔽】。
3、再次点击【屏蔽IP】,分别输入每个需放行的IP或网段(如203.203.203.0/24),备注注明用途,逐一提交。
4、确认列表中仅存在待放行条目,无其他残留屏蔽记录,规则即时生效。
四、修改面板服务启动参数强制绑定
该方法绕过bt命令封装,直接编辑systemd服务文件,适用于对系统控制权要求严格的生产环境,可彻底禁用面板监听0.0.0.0。
1、执行命令:sudo systemctl edit bt.service,创建覆盖配置文件。
2、在打开的编辑器中输入以下内容:
[Service]
Environment="BIND_ADDR=192.168.5.0/24"
3、保存退出后执行:sudo systemctl daemon-reload。
4、重启面板服务:sudo systemctl restart bt.service。
五、通过服务器系统防火墙iptables/ufw限制
在操作系统层面拦截非授权IP对宝塔面板端口(默认8888)的TCP连接请求,不依赖面板自身功能,可靠性高。
1、确认当前防火墙状态:sudo ufw status verbose(Ubuntu)或sudo iptables -L -n(CentOS)。
2、清除现有相关规则(如有):sudo ufw delete deny 8888 或 sudo iptables -D INPUT -p tcp --dport 8888 -j DROP。
3、添加白名单规则(以允许10.10.0.0/16为例):sudo ufw allow from 10.10.0.0/16 to any port 8888。
4、拒绝其余所有访问:sudo ufw deny 8888,最后启用防火墙:sudo ufw enable。
