前言
使用境外服务器,"IP被封"是很多用户绕不开的话题。
有时候网站突然从大陆无法访问,有时候SSH也连不上,但用代理或者VPN访问服务器却完全正常。这种情况十有八九是服务器IP被大陆网络屏蔽了。
IP被封的原因、严重程度、处理方式各不相同。本文从判断IP是否真的被封开始,到临时应急处理、正式解决方案、长期预防措施,提供完整的处理流程。
一、先判断:IP是否真的被封了?
很多用户发现网站访问不了,第一反应就是"IP被封了",但实际上可能有多种原因。先做排查,避免走弯路。
快速判断步骤
第一步:用代理/VPN访问
用国内的代理或VPN访问你的网站/服务器:
- 能访问 → 说明服务器本身正常,问题在网络层(IP可能被封)
- 还是无法访问 → 服务器本身可能宕机,与IP封锁无关
第二步:从海外节点测试
访问 ping.chinaz.com,输入服务器IP,选择"海外节点"测试:
- 海外节点能Ping通,国内节点全部超时 → IP被大陆封锁
- 海外节点也Ping不通 → 服务器宕机或IP路由问题,联系IDC
第三步:区分封锁类型
# 在国内服务器或有国内IP的机器上执行
# 测试HTTP连接(80端口)
curl -m 10 http://被测试的IP
# 测试HTTPS连接(443端口)
curl -m 10 https://被测试的IP
# 测试SSH端口
telnet 被测试的IP 22结果分析:
| 现象 | 可能原因 |
|---|---|
| 所有端口都超时 | IP被整体封锁(最严重) |
| 只有80/443超时,SSH正常 | HTTP端口被封(针对性封锁) |
| Ping通但HTTP超时 | Web端口被屏蔽,ICMP未封 |
| 国内某些运营商封,其他正常 | 单一运营商封锁 |
二、IP封锁的主要类型和原因
类型一:GFW封锁(防火长城)
GFW(Great Firewall)是大陆互联网的网络过滤系统,会主动封锁特定IP。
封锁触发原因:
- IP上运行了被识别为代理/VPN的服务
- IP历史上有大量违规流量
- IP段被批量封锁(某个IP段因其他用户违规而整段被封)
- 网站内容触发审查(政治、色情、博彩等敏感内容)
封锁特征:
- 通常是整个IP被封,所有端口都无法访问
- 封锁可能是临时的(几天到几周)或永久的
- 不同运营商的封锁时间可能不同步
类型二:运营商QoS限速/封锁
部分运营商(尤其是联通、移动)会对特定境外IP段进行限速或封锁,而非来自GFW。
特征:
- 电信用户能访问,联通/移动用户不能
- 访问速度极慢但偶尔能通(限速而非完全封锁)
- 通常在高峰期更严重
类型三:机房/IDC层面的封锁
IDC机房接到投诉或检测到异常流量时,可能在机房网络层面封锁特定IP。
特征:
- 无论从国内还是海外都无法访问
- 联系IDC后通常可以解除
三、IP被封后的紧急应对(保持业务不中断)
发现IP被封,首先考虑的不是"怎么解封",而是"怎么让业务继续运行"。
应急方案一:切换到Cloudflare代理
这是最快速的临时解决方案,通常5分钟内生效。
原理: 将域名DNS切换到Cloudflare,用户访问的是Cloudflare的IP,不直接访问服务器IP。即使服务器IP被封,用户仍然可以通过Cloudflare访问网站。
操作步骤:
- 确保域名已托管在Cloudflare
- 将A记录前的云朵图标设置为橙色(代理开启)
- 等待DNS生效(通常2~5分钟)
注意事项:
- SSH连接无法通过Cloudflare代理,仍需要直接访问服务器IP(用VPN或通过控制台)
- Cloudflare免费版代理不支持自定义端口,只支持标准HTTP/HTTPS端口
应急方案二:更换服务器IP
联系网宝技术支持,申请为服务器更换一个新IP。
操作流程:
- 提交工单说明情况,申请更换IP
- 收到新IP后,更新DNS解析(将域名A记录指向新IP)
- 如果有SSL证书,确认证书域名绑定无需更改(证书绑定的是域名不是IP)
注意: 新IP可能仍在同一IP段,有被连带封锁的风险。如果原IP被封是因为违规内容,更换IP前必须先处理违规内容,否则新IP很快也会被封。
应急方案三:反向代理(CDN或中转)
通过国内CDN或境内服务器做反向代理,让用户通过国内节点访问境外服务器。
方案三适合: 有国内服务器或国内CDN资源的用户
实现方式(以国内服务器反代为例):
# 在国内服务器上配置反向代理
server {
listen 80;
server_name 你的域名.com;
location / {
proxy_pass http://香港服务器IP;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}
}限制: 国内反代服务器需要有ICP备案,且内容必须符合国内法规。
四、SSH被封后如何继续管理服务器
IP被封后,不仅网站无法访问,SSH也可能无法连接,这是最头疼的情况。
方法一:通过IDC控制台(DCIM/KVM)管理
网宝提供DCIM自助管理面板,即使网络完全无法连接,也可以通过DCIM的KVM控制台直接操作服务器,相当于在机房现场使用键盘操作。
登录 idcpay.com,进入服务器管理,找到对应服务器的KVM/DCIM功能。
方法二:通过VPN或代理连接SSH
使用国外代理或VPN连接到服务器IP:
# 通过代理连接SSH(使用ProxyCommand)
ssh -o ProxyCommand="nc -X 5 -x 代理IP:代理端口 %h %p" \
-p SSH端口 root@服务器IP方法三:配置备用SSH访问通道
在IP被封之前,提前配置备用管理入口:
# 在服务器上开启一个非标准端口的SSH
vi /etc/ssh/sshd_config
# 添加:Port 32022 (可以同时监听多个端口)
# 添加:Port 65022
systemctl restart sshd
# 在防火墙开放两个端口
firewall-cmd --permanent --add-port=32022/tcp
firewall-cmd --permanent --add-port=65022/tcp
firewall-cmd --reload某些封锁只封特定端口,备用端口可能仍然可用。
五、IP解封:能做什么?
坦率地说,被GFW封锁的IP,目前没有主动申请解封的官方渠道。解封主要依赖:
自然解封: 部分封锁是临时的,尤其是批量封锁,可能在几天到几周后自然解除。观察期间每天用 ping.chinaz.com 检测,如果封锁解除会自动恢复。
更换IP: 最直接的解决方案,新IP如果干净则立即恢复访问。
更换机房/IP段: 如果某个IP段被批量封锁,需要换到不同IP段的服务器。联系网宝,可以确认哪些IP段当前状态良好。
六、从根源预防IP被封
预防远比应对更重要。以下措施可以大幅降低IP被封的概率:
预防措施一:使用Cloudflare隐藏真实IP
接入Cloudflare后,用户看到的是Cloudflare的IP,不是你的服务器IP。攻击者和审查系统无法直接获取服务器真实IP,自然无法封锁。
关键: 确保没有其他途径泄露服务器真实IP。
- 不要在SSL证书查询、历史DNS记录等地方留下服务器IP
- 不要用服务器IP直接发送邮件(邮件头会暴露IP)
# 检查是否有其他途径泄露IP
# 使用SecurityTrails、Shodan等工具查看IP历史记录预防措施二:不要在服务器上运行敏感服务
以下类型的服务是IP被封最常见的原因:
- 代理/VPN服务(Shadowsocks、V2Ray等)
- 政治敏感内容网站
- 博彩、色情等违规内容
合法业务不应部署这类服务,这既是法律要求,也是保护你服务器IP的实际需要。
预防措施三:监控IP封锁状态,提前预警
设置定时监控,一旦IP从国内节点无法Ping通,立即发送告警:
#!/bin/bash
# 保存为 /scripts/check_ip.sh
# 通过在国内的代理测试IP可达性
IP="你的服务器IP"
# 使用ping.chinaz的API检测(需要注册获取API key)
RESULT=$(curl -s "https://api.ping.cn/ping/$IP")
if echo "$RESULT" | grep -q '"loss":100'; then
# 发送告警(通过企业微信/钉钉webhook)
curl -s -X POST \
-H "Content-Type: application/json" \
-d '{"msgtype":"text","text":{"content":"警告:服务器IP '$IP' 可能被封锁,请立即检查!"}}' \
你的企业微信Webhook地址
fi# 设置每15分钟检测一次
echo "*/15 * * * * /scripts/check_ip.sh" | crontab -预防措施四:使用BGP多线或CN2 GIA线路
经验表明,CN2 GIA和BGP线路的IP被大规模封锁的概率低于普通163骨干线路。原因是CN2 GIA线路的IP池更小、使用者质量更高,被滥用的概率更低。
预防措施五:定期检查IP信誉
# 定期检测IP是否出现在黑名单
# 访问以下工具检测
# mxtoolbox.com/blacklists.aspx
# spamhaus.org/query/ip/你的IP
# abuseipdb.com/check/你的IP七、应对IP被封的完整处理流程
发现网站/SSH无法访问
↓
第一步:确认是否真的被封
(用VPN访问正常 + ping.chinaz海外节点能通,国内超时)
↓
第二步:立即开启应急方案保障业务
├── 快速:开启Cloudflare代理(5分钟内生效)
├── 中速:申请更换服务器IP
└── 备用:配置国内反代节点
↓
第三步:通过DCIM/KVM或VPN继续管理服务器
↓
第四步:排查被封原因
├── 检查服务器上是否运行了敏感服务
├── 检查网站内容是否有违规
└── 确认是否是IP段批量封锁(联系网宝确认)
↓
第五步:根据原因处理
├── 内容问题 → 删除违规内容,更换IP
├── 服务问题 → 关闭敏感服务,更换IP
└── 批量封锁 → 等待自然解封 或 更换IP段
↓
第六步:建立预防机制
├── 接入Cloudflare隐藏真实IP
├── 配置IP封锁监控告警
└── 定期检查IP信誉状态八、总结
| 场景 | 推荐处理方案 | 生效时间 |
|---|---|---|
| 网站被封,SSH正常 | 开启Cloudflare代理 | 5分钟 |
| 全部被封,业务紧急 | 申请更换IP + Cloudflare代理 | 30分钟~2小时 |
| 全部被封,SSH无法连接 | 使用DCIM/KVM控制台管理 | 立即 |
| 单一运营商封锁 | BGP多线服务器(三网均衡) | 更换服务器后立即 |
| 批量IP段封锁 | 更换IP段或等待自然解封 | 1~14天 |
如遇IP被封,可立即联系网宝技术支持,我们提供7×24小时应急响应,协助判断封锁类型、申请更换IP、配置Cloudflare等应急处理。