这个是不是要准备个ip库去查询还是怎么弄？
或者有无更好的防火墙？
ipset

nginx + geoip会弄
iptables 的话参考一下这个看行不行 http://www.ttlsa.com/web/iptables-geoip-filtration-barrier-source-ip/

拿去吧
http://ftp.apnic.net/apnic/stats/apnic/delegated-apnic-latest

也就能靠geoip了，ipset多了的话消耗有点大

https://www.countryipblocks.net/country_selection.php
生成国内的ip列表
iptables 允许国内IP INPUT 默认为DROP