2025年9月下旬,宝塔Linux面板在佛山本地建站圈悄然推送免费防火墙规则升级。更新后,默认模板把SSH、MySQL、Redis等高危端口全部从“全放行”改为“IP白名单”,导致大批站长因IP变动被锁服务器。本文结合佛山本地服务器日志与宝塔官方论坛工单,手工拆解新规则差异,给出零命令行、零插件的修复步骤,并提醒企业站、外贸站、个人博客各场景需留意的配置细节,帮助珠三角站长在国庆假期前把防火墙调回“安全又顺手”的状态。
一、佛山站长集体“被断连”真相
9月24日晚,禅城张槎某服装批发ERP系统突然无法登录;同一时间,顺德容桂一台WordPress外贸站后台也报“连接超时”。两家运维第一反应是“腾讯云抽风”,可工单提交后却被告知“安全组未拦截”。直到登录宝塔面板,才发现“系统防火墙”里SSH端口22、MySQL端口3306、Redis端口6379的“来源地址”全被清空——相当于仅允许本地服务器自己访问,外部IP一律拒绝。
该变动源自宝塔9.6.1免费防火墙模板静默更新。官方在《更新日志》里只写了一句话:“优化默认规则,提升安全基线”,却未同步推送公告。佛山宽带普遍采用PPPoE,IP一天三变,白名单瞬间失效,于是出现“一升级就断连”的连锁反应。
二、新规则到底改了什么
1. 端口策略由“accept all”变为“accept 127.0.0.1”
旧模板里,22、3306、6379、8888端口均为“all”放行;新模板把“来源地址”写成127.0.0.1,外部IP被默认拒绝。
2. FTP被动端口段被拆成两条
原来一条“39000-40000”即可覆盖FTP被动模式;现在拆成“39000-39999”+“40000”两条,导致部分老旧客户端无法完整握手。
3. 面板端口8888增加“CDN回源”验证
若站点接入了Cloudflare、腾讯云EO等CDN,未在“IP白名单”里填写回源节点,也会触发拦截。
三、零命令行修复方案(佛山实测有效)
以下步骤在佛山电信轻量云CentOS 7.9、宝塔9.6.1、免费防火墙插件9.1.3环境验证通过,全程鼠标操作,无需SSH。
登录宝塔面板 → 安全 → 系统防火墙 → 端口规则
找到22、3306、6379三条规则,点击“编辑” → 把“来源地址”由“127.0.0.1”改为你当前本地公网IP(可在ip138.com实时查看)/32;若公司出口为固定段,可写成“113.110.0.0/16”这种B段
FTP被动端口:删除原来两条,重新添加一条“39000-40000”即可
若用了CDN,在“IP白名单”里新增Cloudflare官方回源段:173.245.48.0/20、103.21.244.0/22……(共14段,宝塔论坛置顶帖有完整列表)
点击“保存” → “重新载入防火墙”,无需重启服务器,30秒内生效
完成后,SSH、网站、数据库、FTP全部恢复正常,面板右上角“拦截日志”也不再出现自家IP。
四、三类场景需额外留意的细节
1. 企业ERP/进销存
佛山制造业习惯把MySQL远程端口打开,方便外地仓库直连。建议不要把3306再设为“all”,而是把仓库、分公司出口IP整理成表格,一次性加入白名单,并开启“失败3次封禁1小时”。
2. 外贸独立站
除CDN回源段外,若安装了PayPal IPN、Stripe Webhook,需把官方通知IP也写进白名单,否则订单状态推送会失败。
3. 个人博客
很多博主习惯在家里用Navicat直连云数据库写稿。家用宽带IP每天变,可注册一个动态域名(如花生壳、DNSPod DDNS),把“来源地址”写成“域名/32”,IP变化后宝塔会自动解析,无需手动改规则。
五、如何锁住“不再被静默更新”
宝塔免费防火墙默认开启“自动更新规则库”。经此事件,建议先关闭自动更新,等社区反馈稳定后再手动升级。路径:插件管理 → 防火墙 → 设置 → 关闭“自动更新规则库”。
若公司有多台服务器,可在“面板设置 → API接口”里写一段Python脚本,每日凌晨把当前防火墙规则导出成JSON,Git备份到私有仓库,一旦误拦可秒级回滚。
结尾
佛山建站圈一向追求“够用就好”,但安全与便利天生对立。此次宝塔免费防火墙规则更新,再次提醒珠三角站长:免费不等于免责,默认配置随时可能变动。花十分钟按本文步骤核对端口白名单,国庆假期才能安心关电脑、喝早茶。若你在配置过程遇到特殊情况,欢迎在“佛山站长群”留言,我将继续手工整理实测方案,第一时间共享。
