可通过五种方式限制宝塔面板 IP 访问:一、宝塔安全模块设置白名单;二、系统防火墙(firewalld/iptables)限制端口;三、Nginx 反向代理 +IP 校验;四、修改 limitip.conf 配置文件;五、云平台安全组策略。
如果您希望限制宝塔面板后台的访问来源,仅允许特定 IP 或 IP 段登录管理界面,防止未授权设备远程访问面板,则需通过服务器层面的访问控制机制实现。以下是多种可行的限制方法:
一、通过宝塔安全模块限制 IP 访问
宝塔面板内置的安全功能支持直接配置 IP 白名单,仅放行指定 IP 地址访问面板端口(默认 8888),其余请求将被拒绝。该方式无需修改系统防火墙规则,操作直观且实时生效。
1、登录宝塔面板,在左侧菜单栏点击 安全。
2、在安全页面中找到 IP 访问限制 区域,点击 添加规则 按钮。
3、选择 放行 类型,输入允许访问的单个 IP 地址(如 114.114.114.114)或 CIDR 格式网段(如 192.168.1.0/24)。
4、在备注栏填写用途说明(例如“公司办公网络”),点击 提交 保存规则。
5、确认规则状态为 启用,并检查面板右上角提示是否显示“IP 访问限制已开启”。
二、通过系统防火墙(firewalld/iptables)限制面板端口
在操作系统底层对宝塔面板监听端口(默认 8888,含 HTTPS 端口 8443)设置入站规则,仅接受白名单 IP 的 TCP 连接请求。此方法绕过宝塔应用层,防护强度更高,适用于高安全要求场景。
1、SSH 登录服务器,执行命令查看当前 firewalld 状态:systemctl status firewalld。
2、若 firewalld 运行中,执行以下命令放行指定 IP(示例 IP:203.203.203.203):firewall-cmd –permanent –add-rich-rule=’rule family=”ipv4″ source address=”203.203.203.203″ port port=”8888″ protocol=”tcp” accept’。
3、执行命令禁止其他所有 IP 访问 8888 端口:firewall-cmd –permanent –add-rich-rule=’rule family=”ipv4″ port port=”8888″ protocol=”tcp” reject’。
4、重载防火墙配置:firewall-cmd –reload。
5、若使用 iptables,可执行:iptables -I INPUT -p tcp –dport 8888 ! -s 203.203.203.203 -j DROP,随后保存规则:service iptables save。
三、通过 Nginx 反向代理 +IP 校验限制面板访问
将宝塔面板端口隐藏于自定义 Nginx 反向代理之后,在代理层强制校验客户端真实 IP,未匹配白名单者直接返回 403。该方式可规避直接暴露 8888 端口,同时兼容 HTTPS 和域名访问。
1、在宝塔面板中新建一个站点,绑定任意未使用的域名(如 panel.yourdomain.com)。
2、进入该站点的 配置文件,删除原有内容,替换为以下反向代理配置(请将 127.0.0.1:8888 替换为实际面板监听地址):
location / {allow 221.221.221.0/24; deny all; proxy_pass http://127.0.0.1:8888; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;}
3、确保 Nginx 配置语法正确:nginx -t,无报错后执行nginx -s reload。
4、修改宝塔面板设置:进入 面板设置 → 面板端口,将端口更改为非公开端口(如 65432),避免直接通过 IP:8888 访问。
5、此后仅可通过配置的域名(panel.yourdomain.com)且满足 IP 白名单条件才能访问面板。
四、通过修改宝塔面板配置文件启用 IP 白名单
直接编辑宝塔主程序配置文件,启用其原生支持的 IP 白名单功能。该方式作用于面板服务启动时,对所有 HTTP/HTTPS 请求统一过滤,不依赖 Web 服务器中间层。
1、使用 SSH 连接服务器,打开宝塔配置文件:vi /www/server/panel/data/limitip.conf。
2、若文件不存在,手动创建;在文件中逐行写入允许访问的 IP 地址,每行一个,支持单 IP 与 CIDR 格式:
119.119.119.119
10.10.0.0/16
3、保存退出后,重启宝塔面板服务:bt restart。
4、验证生效:使用非白名单 IP 访问面板地址,应返回 403 Forbidden 页面。
五、通过云服务商安全组限制面板入口 IP
若服务器部署于阿里云、腾讯云等公有云平台,可在云控制台的安全组规则中直接限制入方向流量。该策略位于网络边界,优先级高于系统防火墙,可彻底阻断非法 IP 建立 TCP 连接。
1、登录云服务商控制台,定位至对应 ECS 实例的安全组配置页。
2、编辑入方向规则,删除默认的 0.0.0.0/0 开放 8888 端口规则。
3、新增一条规则:协议类型选TCP,端口范围填8888/8888,源 IP 地址填入允许的单 IP 或网段(如 183.183.183.183/32)。
4、若需同时放行 HTTPS 面板端口(默认 8443),重复步骤 3,端口改为8443/8443。
5、保存规则后,等待安全组策略同步完成(通常数秒内),非白名单 IP 将无法建立到 8888 端口的任何连接。
