网关可见性
这页解决什么问题
网关可见性 用来回答一个很现实的问题:
我不想让所有公网来源都碰到 fknock 的统一入口,只想让特定地区或固定网段能访问。
路径:系统设置 → 网关 → 可见性
这项能力会把你选择的:
- 省 / 市范围
- 自定义
CIDR
解析成最终允许访问的网段,并同步到 Go 网关。
它和白名单、严格白名单有什么区别
这三个概念很容易混在一起,但它们不是同一层。
网关可见性
先决定:
- 某个来源有没有资格碰到统一网关
IP 白名单
再决定:
- 某个来源 IP 是否已经被你长期信任
- 或者是否因为登录成功而获得了临时授权
严格白名单
最后决定:
- 某条业务映射是否只允许白名单来源继续访问
理解顺序更接近:
- 先命中
网关可见性 - 再进入认证、白名单和路由判断
- 最后才会继续转发到业务服务
什么时候值得开启
比较典型的场景有:
- 你只希望某些地区能访问自己的统一入口
- 你只想让公司出口、家宽出口或固定 IDC 网段访问
- 公网入口一直被探测,想先把暴露面收窄
- 你已经知道自己的访问者范围,不想让全球任意来源都先碰到登录页
页面里具体能怎么配
地区范围
你可以按:
- 省份
- 城市
逐项添加允许访问的地区。
- 大多数省份可以直接选择“全省”
- 直辖市会按城市本身处理
广东、浙江当前需要细到城市,不提供“全省”这一项
保存时,后台会把这些地区解析成最终 CIDR,再同步到网关。
如果地区解析失败,通常应该先检查:
自定义 CIDR
如果你更清楚自己要放行的就是固定网段,也可以直接填写:
IPv4 CIDRIPv6 CIDR
页面支持:
- 每行一条
- 自动去重
- 基本格式校验
例如:
text
1.2.3.0/24
2408:8000::/24启用时的边界
- 启用后,至少要有一个地区或一条自定义
CIDR - 只保存空规则是不会通过的
- 保存成功后会立即同步到 Go 网关
在不同运行模式里怎么理解
反代模式
反代模式下,外部访问本来就是统一经过网关。
所以开启可见性后,你可以把它理解成:
- 先限制谁能碰到入口
- 再决定谁能登录、谁能访问具体路径服务
子域模式
子域模式下,虽然外部访问看起来是不同子域,但底层仍然会汇总到同一个网关端口。
这意味着可见性会同时影响:
- 鉴权子域
- 业务子域
直连模式
直连模式下,这项能力主要限制的是:
- 谁能碰到
7999这个登录入口
而登录后继续访问:
56668080- 其他原始端口
这些链路仍然主要依赖:
- 系统防火墙
IP 白名单
所以在直连模式里,不要把“网关可见性”和“登录后对白名单 IP 放行”理解成同一件事。
它和系统防火墙是什么关系
两者不是互相替代,而是分别管不同层面。
系统防火墙
主要控制:
- Linux 层面的端口开放与拦截
网关可见性
主要控制:
- 已经到达 Go 网关的请求来源范围
对外部访问来说,你可以把它们理解成:
- 防火墙先决定“端口层能不能到”
- 网关可见性再决定“到了入口后,这个来源能不能继续碰到网关”
推荐怎么搭配
如果你想把公网暴露面收得更稳,通常可以这样叠加:
- 先用
网关可见性限制来源范围 - 再用
TOTP/Passkey做身份认证 - 对特别敏感的服务,再追加
严格白名单
这样比只调大节流或只盯日志更直接。
常见排查思路
启用后自己也进不去
优先检查:
- 当前公网出口到底是不是落在你选的地区里
- 自定义
CIDR有没有写错 - 你现在访问的是不是仍然经过统一网关
保存时报地区或 CIDR 解析失败
通常优先看:
- 自定义
CIDR格式是否正确 - 地区解析上游是否超时或返回异常
直连模式里登录入口能进,但业务端口还是不通
这时更该优先看:
因为直连模式下,业务原始端口放行主要还是靠底层防火墙和白名单,而不是只靠网关可见性。