IP 白名单
白名单保存允许访问的来源:单个 IP、CIDR、定期解析的 CNAME,以及按地区生成的 CIDR 组。它既用于直连模式中的主机防火墙放行,也为登录后的 IP 授权和历史映射规则提供来源数据。
三类来源
| 来源 | 由谁创建 | 典型用途 |
|---|---|---|
| 手动记录 | 管理员在 IP 白名单 中添加 | 固定办公出口、可信 VPN、CIDR、CNAME 或地区 CIDR 组 |
| 自动记录 | 登录成功后的 IP 授权策略 | 临时为当前公网 IP 授权 |
| 本地豁免 | 网关内置判断,不显示为记录 | 回环、私网、链路本地和 CGNAT 来源 |
本地豁免优先于白名单和登录检查。它不能关闭,也不应被当作公网访问的安全验证结果。
手动白名单
在 IP 白名单 添加单个 IP、CIDR 或 CNAME,并为短期访问设置过期时间。CIDR 还可以通过地区选择生成。手动记录适合长期可信、来源稳定的网络;手机流量、临时 Wi-Fi 和不明出口不应设为永久。
CNAME 会按系统的解析结果更新实际放行范围;只使用自己控制、解析结果可预期的域名。地区 CIDR 组依赖 IP 归属地数据,适合粗粒度收窄,不适合作为唯一的高精度身份判断。
删除记录后,如果没有其他有效记录覆盖同一来源,直连防火墙中的对应放行会失效。
手动白名单也是 要求登录 Host 的独立放行路径。不要添加宽泛的公网网段,否则该网段中的访问者可能不经网页登录就进入受保护服务。
自动 IP 授权
登录后的自动记录由 系统设置 → 会话 控制。它可以跟随会话、完全关闭或使用固定时长。自动记录用于改善登录后的访问体验,但不适合替代长期权限规划。
退出登录会清理与该会话关联的自动授权;手动记录不会受影响。
与访问策略的关系
| 当前映射设置 | 白名单的作用 |
|---|---|
| 公开访问(当前登录优先映射) | 不需要认证,也不依赖白名单 |
| 要求登录 | 手动来源授权可独立放行;自动 IP 授权通常允许同一来源继续访问,但不覆盖已携带的服务范围拒绝;没有可用来源授权时再检查会话 |
旧版导入的 Host 映射可能仍保存“严格白名单”策略。它即使关闭 要求登录 也不一定公开,只检查有效的来源授权记录(手动记录或登录后自动创建),浏览器会话 Cookie 本身不能替代来源条件。若启用登录后自动 IP 授权,完成登录通常会产生自动记录并通过这类历史规则。当前 Host 编辑界面不提供新建该策略的开关;若要退出该规则,记录完整映射后按当前界面重新创建。若严格规则必须只允许手动名单,关闭登录后自动 IP 授权并核对仍有效的自动记录。
直连模式中的效果
原生飞牛 FPK 和具备主机能力的 OpenWrt 部署可以把有效白名单同步到宿主机防火墙。Docker 不管理宿主机防火墙,不能依赖白名单打开原始端口。
在直连模式中,公网来源 IP 变化后,原始端口的访问不会触发会话续接。请先回到网关入口完成认证,再重试原始服务端口。
