防全网扫描源IP，屏蔽IP访问网站方案。

网站一般是直接解析到自己的服务器上面，有的网站为了安全，会套一层CDN或套一层服务器反向代理，这样可以在解析的时候隐藏源站IP，就算攻击或者其他的渗透，也不会直接打在自己的源服务器上，不过很多网站是使用宝塔面板建站的，如果是默认设置的话，其实还可以通过全网扫描来找到你的源站IP地址，暴露源站IP的危害我就不多说了。

模拟这个扫描过程也非常简单，直接访问你源站IP地址，如果没有做任何屏蔽设置，宝塔面板会返回第一个添加的网站，如果你服务器上面只有一个网站，那肯定就是你真实的网站了，如果你开启了HTTPS访问和跳转，还会返回证书，证书里面就包含域名，通过证书的域名可以知道这个IP上面放了什么网站。

有的机房为了安全，屏蔽了IP访问，不过你可以自己手动试试通过https协议来访问IP，看是否会返回内容，不过据我的经验，大部分机房封的都是80端口的IP访问，443端口是不封的，所以依旧可以通过全网扫描的方式找到你网站的真实IP地址，如果你的网站已经备案了，那就更容易被扫到了，因为备案是要接入的，比如你接入了阿里云的备案，那肯定用的是阿里云的服务器，需要扫描的IP段就更少了。

怎么屏蔽扫描？很简单，我前面说了，宝塔会返回第一个添加的网站，你可以随便添加一个网站再添加真实的网站，也可以添加一个网站再设置成默认站点，比如小哲我添加的是baidu，域名是什么不重要，是不是你的也不重要，随便添加，反正也不打算让这个网站成功返回内容，仅仅是用于屏蔽的，添加后把这个网站设置成默认网站就行了，这样通过IP访问的时候，会返回这个网站的内容。

如果你真实的网站开启了HTTPS，那这个默认的傀儡网站也需要添加HTTPS证书，随便一张证书就行，哪怕是过期了的证书，哪怕是跟你添加的域名不一样的证书，都无所谓，因为这个网站仅仅是用来做屏蔽扫描的，返回错误内容不会影响到你的真实网站。

如果不想返回任何的内容，也可以修改默认网站的配置文件，添加一行return 444;的配置，这样别人直接访问IP的时候不会返回任何内容，直接断开链接，修改配置如下图所示：

本文转自小哲博客