🛡️ 宝塔面板隐藏真实IP · 假网站 ip.com 为例

使用CDN后，通过配置默认站点和假证书，彻底屏蔽扫描器

📌 准备工作

• 已安装宝塔面板（Linux/Windows版均可）
• 已有一个真实网站，并绑定了域名、部署了真实的SSL证书
• 真实网站已接入CDN，且CDN回源正常
• 能够登录宝塔面板后台

---

📝 详细操作步骤

1. 创建假站点 ip.com

这个站点不放任何真实内容，专门用来迷惑扫描器。

1. 登录宝塔面板，点击左侧菜单 “网站”。
2. 点击 “添加站点” 按钮。
3. 在“域名”处填入 ip.com（这是假域名，不用真实拥有）。
   💡 提示 你也可以用其他不存在的域名，但为了统一，本教程使用 ip.com。
4. “备注”可填 默认站点-防IP泄露，方便识别。
5. PHP版本选择 “纯静态”（我们不需要PHP）。
6. 点击 “提交” 创建。

📸 截图示意：添加站点界面，域名填写 ip.com

（宝塔界面大同小异，找到添加站点按钮即可）

2. 将 ip.com 设置为“默认站点”

这样直接通过IP访问时，Nginx会优先使用这个站点的配置。

1. 在“网站”列表中找到 ip.com，点击右侧的 “设置”。
2. 在设置窗口中，找到 “默认站点” 选项（或在“网站”页面顶部有“设置默认站点”按钮）。
   📌 提示 如果找不到，可以在“配置文件”中手动添加 default_server 关键字（但新手推荐使用面板自带的“设置默认站点”功能）。
3. 选择 ip.com 并确认，将其设为默认站点。

📸 截图示意：点击“设置默认站点”，下拉选择 ip.com

3. 为 ip.com 配置假SSL证书

关键步骤：让扫描器拿到的证书是 ip.com（无效域名），而不是你的真实域名。

1. 在网站列表中，点击 ip.com 右侧的 “设置”。
2. 切换到 “SSL” 选项卡。
3. 选择 “当前证书 -[未部署SSL]”。
4. 将下面的 假证书（KEY 和 PEM） 分别粘贴到对应的输入框。
   ⚠️ 注意 此证书为演示用，域名 ip.com，有效期至 2099-12-31，完全满足隐藏需求。

📄 假证书私钥（KEY）

-----BEGIN RSA PRIVATE KEY-----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-----END RSA PRIVATE KEY-----

📄 假证书公钥（PEM）

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

粘贴完成后，点击 “保存”。宝塔会自动生成证书文件并在配置文件中添加正确的引用路径。

📸 截图示意：SSL设置界面，选择“当前证书 -[未部署SSL]”，粘贴KEY和PEM

4. 修改 ip.com 的配置文件，添加 return 444;

让所有直接IP访问直接被拒绝，不返回任何内容。

1. 在网站列表中，点击 ip.com 右侧的 “设置”。
2. 切换到 “配置文件” 选项卡。
3. 在 server { ... } 块中，找到 ssl_certificate 和 ssl_certificate_key（这是上一步宝塔自动生成的）。
4. 在 证书配置的下一行（建议放在最后），添加：

   return 444;

5. 确保整个配置类似这样（注意顺序）：

   server {
       listen 80 default_server;
       listen 443 ssl default_server;
       listen 443 quic default_server;
       http2 on;
       http3 on;
       server_name ip.com;
   
       # 宝塔自动生成的证书路径
       ssl_certificate /www/server/panel/vhost/cert/ip.com/fullchain.pem;
       ssl_certificate_key /www/server/panel/vhost/cert/ip.com/privkey.pem;
   
       # 最后执行：直接断开连接，不返回任何内容
       return 444;
   }

   ⚠️ 注意 证书路径必须放在 return 前面（虽然顺序不影响技术，但这是规范写法，避免误解）。

6. 点击 “保存”。
7. 点击宝塔右上角的 “重启 Nginx” 使配置生效。

⚠️ 千万不要为 ip.com 开启“强制HTTPS”

为什么？

• 开启强制HTTPS后，访问 http://你的IP 会返回一个 301重定向 到 https://你的IP。这个重定向动作会向扫描器暴露“这个IP后面有Web服务”，违背了隐藏的初衷。
• 我们的目标是让所有直接IP访问都 石沉大海、无任何响应。 return 444; 已经完美实现了这一点，不需要多此一举的重定向。
• 如果你不小心开启了，请立即关闭（在站点设置 → SSL → 强制HTTPS 开关处关闭）。

---

✅ 验证效果

完成以上步骤后，用以下方法测试：

• 访问 http://你的服务器IP → 浏览器显示 “连接被重置” 或 “无法访问此网站”，无任何页面返回。
• 访问 https://你的服务器IP → 同样显示 “连接被重置”，但如果你查看证书信息（在浏览器地址栏点击锁图标），会看到证书是 ip.com，有效期至 2099年，而不是你的真实业务域名。
• 正常访问你的真实域名（通过CDN） → 一切正常，不受影响。

---

⚠️ 重要注意事项

---

📚 常见问题

• Q：假网站 ip.com 需要真的绑定到公网DNS吗？
  A：完全不需要。它只会在服务器本地作为默认站点生效，不需要在DNS解析中设置。
• Q：我可以用其他假域名吗？
  A：当然可以，只要与证书中的域名一致即可。本教程使用 ip.com 和配套假证书，你也可以自己生成。
• Q：如果我的真实网站也用了 ip.com 怎么办？
  A：这不可能，因为 ip.com 是假域名，你的真实业务域名肯定不是这个，所以不会冲突。
• Q：宝塔面板版本不同，找不到“设置默认站点”按钮？
  A：可以在“网站”页面顶部找“设置默认站点”按钮；如果实在找不到，可以在 ip.com 的配置文件中手动为 listen 添加 default_server 参数（如 listen 80 default_server;），效果相同。

---

🎯 教程结束 · 你的源站IP已经安全了！
如有疑问，欢迎在评论区交流