Skip to content

IP 白名单

白名单保存允许访问的来源:单个 IP、CIDR、定期解析的 CNAME,以及按地区生成的 CIDR 组。它既用于直连模式中的主机防火墙放行,也为登录后的 IP 授权和历史映射规则提供来源数据。

三类来源

来源由谁创建典型用途
手动记录管理员在 IP 白名单 中添加固定办公出口、可信 VPN、CIDR、CNAME 或地区 CIDR 组
自动记录登录成功后的 IP 授权策略临时为当前公网 IP 授权
本地豁免网关内置判断,不显示为记录回环、私网、链路本地和 CGNAT 来源

本地豁免优先于白名单和登录检查。它不能关闭,也不应被当作公网访问的安全验证结果。

手动白名单

IP 白名单 添加单个 IP、CIDR 或 CNAME,并为短期访问设置过期时间。CIDR 还可以通过地区选择生成。手动记录适合长期可信、来源稳定的网络;手机流量、临时 Wi-Fi 和不明出口不应设为永久。

CNAME 会按系统的解析结果更新实际放行范围;只使用自己控制、解析结果可预期的域名。地区 CIDR 组依赖 IP 归属地数据,适合粗粒度收窄,不适合作为唯一的高精度身份判断。

删除记录后,如果没有其他有效记录覆盖同一来源,直连防火墙中的对应放行会失效。

手动白名单也是 要求登录 Host 的独立放行路径。不要添加宽泛的公网网段,否则该网段中的访问者可能不经网页登录就进入受保护服务。

自动 IP 授权

登录后的自动记录由 系统设置 → 会话 控制。它可以跟随会话、完全关闭或使用固定时长。自动记录用于改善登录后的访问体验,但不适合替代长期权限规划。

退出登录会清理与该会话关联的自动授权;手动记录不会受影响。

与访问策略的关系

当前映射设置白名单的作用
公开访问(当前登录优先映射)不需要认证,也不依赖白名单
要求登录手动来源授权可独立放行;自动 IP 授权通常允许同一来源继续访问,但不覆盖已携带的服务范围拒绝;没有可用来源授权时再检查会话

旧版导入的 Host 映射可能仍保存“严格白名单”策略。它即使关闭 要求登录 也不一定公开,只检查有效的来源授权记录(手动记录或登录后自动创建),浏览器会话 Cookie 本身不能替代来源条件。若启用登录后自动 IP 授权,完成登录通常会产生自动记录并通过这类历史规则。当前 Host 编辑界面不提供新建该策略的开关;若要退出该规则,记录完整映射后按当前界面重新创建。若严格规则必须只允许手动名单,关闭登录后自动 IP 授权并核对仍有效的自动记录。

直连模式中的效果

原生飞牛 FPK 和具备主机能力的 OpenWrt 部署可以把有效白名单同步到宿主机防火墙。Docker 不管理宿主机防火墙,不能依赖白名单打开原始端口。

在直连模式中,公网来源 IP 变化后,原始端口的访问不会触发会话续接。请先回到网关入口完成认证,再重试原始服务端口。

QQ群:1081609274