歡迎來到3WA問題解決專家工作室

Windows 部署

適合用 PowerShell + Windows Firewall

PowerShell

下載： my_ban_ips.ps1

建議先用系統管理員身分開 PowerShell。
手動執行一次後，確認防火牆規則有建立，再放進工作排程器。
如果你只是要同步最新封鎖名單，定時跑這支就可以。

PowerShell -ExecutionPolicy Bypass -File .\my_ban_ips.ps1

# my_ban_ips.ps1 
# 作者: 羽山秋人 (https://3wa.tw)
# 版本: V0.01

# 以下內容請儲成 👉 C:\tools\my_ban_ips.ps1（⚠ 副檔名一定要 .ps1）
# 1. 用 系統管理員，打開 cmd 下載 my_ban_ips.ps1
# mkdir C:\tools
# curl "https://3wa.tw/myapache_banip/my_ban_ips.ps1" -o C:\tools\my_ban_ips.ps1

# 2. 初次執行，允許下載 banip_csv.txt 權限
# Set-ExecutionPolicy RemoteSigned   (選 Y)

# 3. 後續執行，使用系統管理員執行 cmd 然後
# powershell -ExecutionPolicy Bypass -File C:\tools\my_ban_ips.ps1

# 或者
# 4. 使用 系統管理員啟動 powershell
# powershell -ExecutionPolicy Bypass -File C:\tools\my_ban_ips.ps1

# 或者
# 5. 使用 系統管理員啟動 powershell
# Unblock-File C:\tools\my_ban_ips.ps1
# C:\tools\my_ban_ips.ps1

# 2、3、4 擇一使用即可

# 如果要移除此規則
# 使用 系統管理員執行 Powershell
# Remove-NetFirewallRule -DisplayName "Block Bad IPs_*"

# 說明：
# 因為 Windows Firewall 單一規則若塞入過多 IP，容易出現：
# Set-NetFirewallRule : 陣列界限不正確 / Windows System Error 1734
# 所以此版本改為：
# 1. 下載 banip_csv.txt
# 2. 讀入 IP 清單
# 3. 每 500 筆 IP 切成一條規則
# 4. 規則名稱會變成：
#    Block Bad IPs_001
#    Block Bad IPs_002
#    Block Bad IPs_003
#    ...

$ErrorActionPreference = "Stop"

$rulePrefix = "Block Bad IPs"
$url = "https://3wa.tw/myapache_banip/data/banip_csv.txt"
$tmpFile = "C:\temp\banip_csv.txt"
$chunkSize = 500   # 每條防火牆規則放幾個 IP，建議 300~800，500 較穩

try {

# 建 temp 目錄
    if (!(Test-Path "C:\temp")) {
        New-Item -ItemType Directory -Path "C:\temp" | Out-Null
    }

# 下載 IP 清單
    Write-Host "Downloading IP list..."
    Invoke-WebRequest -Uri $url -OutFile $tmpFile

# 讀取並整理 IP（去空白、去空行、去重複）
    $ips = Get-Content $tmpFile |
        ForEach-Object { $_.Trim() } |
        Where-Object { $_ -ne "" } |
        Sort-Object -Unique

if ($ips.Count -eq 0) {
        throw "IP list is empty."
    }

Write-Host ("Total unique IPs: " + $ips.Count)

# 先移除舊規則
    # 例如：
    # Block Bad IPs_001
    # Block Bad IPs_002
    # ...
    Write-Host "Removing old firewall rules..."
    $oldRules = Get-NetFirewallRule -DisplayName "$rulePrefix*" -ErrorAction SilentlyContinue
    if ($oldRules) {
        $oldRules | Remove-NetFirewallRule
    }

# 依 chunkSize 分批建立規則
    $ruleCount = 0

for ($i = 0; $i -lt $ips.Count; $i += $chunkSize) {

$end = $i + $chunkSize - 1
        if ($end -ge $ips.Count) {
            $end = $ips.Count - 1
        }

$chunk = $ips[$i..$end]
        $ruleCount++
        $ruleName = "{0}_{1:D3}" -f $rulePrefix, $ruleCount

Write-Host ("Creating firewall rule: " + $ruleName + "  (" + $chunk.Count + " IPs)")

New-NetFirewallRule `
            -DisplayName $ruleName `
            -Direction Inbound `
            -Action Block `
            -Enabled True `
            -Profile Any `
            -RemoteAddress $chunk | Out-Null
    }

Write-Host ""
    Write-Host "Done."
    Write-Host ("Total IPs: " + $ips.Count)
    Write-Host ("Total rules created: " + $ruleCount)

}
catch {
    Write-Host ""
    Write-Host "Firewall update failed:"
    Write-Host $_.Exception.Message
    exit 1
}

Linux 部署

適合用 `ipset` + `iptables` 的環境

Shell Script

下載： my_ban_ips.sh

先確認系統已有 `ipset`、`iptables`，並以 root 權限執行。
建議先手動跑一次，確認黑名單集合與 DROP 規則建立成功。
之後可放進 `crontab`，或開機時自動執行。

chmod +x ./my_ban_ips.sh
sudo ./my_ban_ips.sh

#!/usr/bin/bash

# my_ban_ips.sh 
# 作者: 羽山秋人 (https://3wa.tw)
# 版本: V0.01

# 1. 安裝所需套件
# sudo apt install -y ipset iptables curl

# 2. 本檔案內容存成：/root/my_ban_ips.sh
# curl "https://3wa.tw/myapache_banip/my_ban_ips.sh" -o /root/my_ban_ips.sh

# 3. 給執行權限
# chmod +x /root/my_ban_ips.sh

# 4. 手動執行一次
# sudo /root/my_ban_ips.sh

# 5. 檢查結果
# 看 ipset 內容：
# ipset list blacklist
# 看 iptables 規則：
# iptables -L INPUT -n --line-numbers
# 你應該會看到類似：
# match-set blacklist src DROP

# 6. 設定自動更新
# 最簡單先用 crontab。
# 編輯 root 的排程：
# crontab -e
# 每 30 分鐘跑一次：

# my_ban_ips
# */30 * * * * /root/my_ban_ips.sh >> /var/log/my_ban_ips.log 2>&1

# 7. 如果要移除這套規則
# 先刪 iptables 規則：
# iptables -D INPUT -m set --match-set blacklist src -j DROP

# 再刪 ipset：
# ipset destroy blacklist

# 如果還有排程，也一起刪：
# crontab -e
# 把那行移掉。

set -euo pipefail

SET_NAME="blacklist"
RULE_COMMENT="Block bad IPs from remote list"
URL="https://3wa.tw/myapache_banip/data/banip_csv.txt"
TMP_FILE="/tmp/banip_csv.txt"
TMP_RESTORE="/tmp/ipset_restore.txt"

# 下載清單
curl -fsSL "$URL" -o "$TMP_FILE"

if [ ! -s "$TMP_FILE" ]; then
    echo "Download failed or file is empty"
    exit 1
fi

# 建立暫時 restore 檔
{
    echo "create ${SET_NAME}_new hash:ip family inet hashsize 4096 maxelem 65536 -exist"

while IFS= read -r line; do
        ip="$(echo "$line" | tr -d '\r' | xargs)"
        [ -z "$ip" ] && continue

# 如果你的檔案其實是 csv: 1.2.3.4,reason
        # 可改成：
        # ip="$(echo "$line" | cut -d',' -f1 | tr -d '\r' | xargs)"

if [[ "$ip" =~ ^([0-9]{1,3}\.){3}[0-9]{1,3}$ ]]; then
            echo "add ${SET_NAME}_new $ip"
        else
            echo "SKIP: [$ip]" >&2
        fi
    done < "$TMP_FILE"
} > "$TMP_RESTORE"

# 載入新 set
ipset restore < "$TMP_RESTORE"

# 若正式 set 不存在，先建立
ipset create "$SET_NAME" hash:ip family inet hashsize 4096 maxelem 65536 -exist

# 原子替換
ipset swap "${SET_NAME}_new" "$SET_NAME"

# 清理暫存 set
ipset destroy "${SET_NAME}_new" 2>/dev/null || true

# 確保 iptables 規則存在
if ! iptables -C INPUT -m set --match-set "$SET_NAME" src -j DROP 2>/dev/null; then
    iptables -I INPUT -m set --match-set "$SET_NAME" src -j DROP
fi

COUNT=$(ipset list "$SET_NAME" | awk '/Number of entries:/ {print $4}')
echo "Done. Total blocked IPs: ${COUNT:-0}"

防火牆 Ban IP 使用說明