IP 归属地服务
IP 归属地服务为白名单、会话、SSH 安全和网关可见性提供地区信息与 CIDR 查询。它用于辅助决策,不应被视为精确定位或唯一安全依据。
两类接口
| 接口 | 用途 |
|---|---|
| IP 识别库 | 将单个公网 IP 转为国家、省市等归属信息 |
| CIDR 地址库 | 将选定地区转换为可用于规则的 CIDR 范围 |
在 系统设置 → 属地 可选择官方在线服务或自定义服务。自定义服务应提供与页面测试要求兼容的 API;先在服务端健康检查通过后,再填入 fn-knock。
选择来源
- 使用官方在线服务:配置最少,但依赖外部网络和服务可用性。
- 使用自建服务:便于控制数据来源和网络位置,但需要自行维护镜像、更新和备份。
Docker 中的自建服务若与 fn-knock 不在同一网络,不能使用容器内的 127.0.0.1 作为地址;应使用可互相访问的服务名或宿主机地址。
验证与限制
保存后分别测试 IP 识别库和 CIDR 地址库。失败时检查 URL、协议、DNS、容器网络和 TLS 证书。私网、回环或代理错误传来的地址通常没有有意义的公网归属地。
归属地数据库会滞后、IP 可能被运营商复用,地区规则也会误伤旅行、漫游或企业出口用户。将它与 CIDR、登录认证和日志观察组合使用,而不是单独作为高风险访问的唯一条件。
