Knock 敲门

外观切换

直连模式上手

这页解决什么问题

这页面向“已经明确需要使用直连模式”的用户,帮助你快速把链路跑通。

先把结论说清楚:

直连模式不是当前新部署的推荐首选。只要你有域名,并且主要访问的是 Web 服务,通常应优先使用 子域模式

它不追求覆盖所有变体,而是回答最关键的 4 件事:

  1. 直连模式到底怎样保护入口
  2. 第一次配置时,应该按什么顺序完成
  3. 哪些功能是直连模式的核心
  4. 什么时候应该停止坚持直连,转去子域模式或反代模式

直连模式的工作原理

直连模式的本质不是“直接把所有端口暴露到公网”,而是:

  1. 先把公网访问收敛到 7999
  2. 7999 上完成认证
  3. 认证成功后,对当前出口 IP 放行其他端口

这个模式依赖 Linux 防火墙策略工作,因此它更适合:

  • 有公网 IPv4 / IPv6 的设备
  • 不需要内网穿透的场景
  • 希望继续按原始端口访问其他服务的用户

如果你的目标是让 fnos.example.comalist.example.com 这类 Web 子域统一经过 fknock,直连模式就不是最合适的模型。

第一次配置建议顺序

  1. 切换到 直连模式
  2. 绑定 TOTP
  3. 按需要补充 Passkey
  4. 配置 SSL
  5. 如果公网地址会变化,再配置 DDNS
  6. 从真正的外部网络完成一次访问验证

第 1 步:切换到直连模式

路径:系统设置 → 模式

切换到直连模式前,请先理解两个关键点:

  • 对公网访问来说,默认会屏蔽除 7999 外的其他端口
  • 局域网访问不会按同样方式被整体封掉

这也是为什么文档里一直强调:

直连模式不是拿来做内网穿透的,也不是推荐给大多数 Web 服务的新路线。

如果你的真实需求是“我没有公网 IP,但想从外网访问”,请改走 反代模式上手

如果你的真实需求是“我有公网和域名,想让多个 Web 服务都有独立入口”,请改走 子域模式上手

第 2 步:绑定 TOTP

路径:认证配置

建议立即完成,不要拖到最后。

操作顺序:

  1. 点击 绑定新令牌
  2. 使用身份验证器 App 扫码
  3. 输入 6 位验证码
  4. 给设备命名
  5. 保存

推荐先看:

另外要记住,登录页在真正显示 TOTP 输入前,还会先经过一层人机验证。

如果你想改验证码类型,建议同时看:

第 3 步:按需要补充 Passkey

Passkey 不是必须,但对你自己的常用设备非常有价值。

推荐顺序:

  1. 先确保 TOTP 已可正常登录
  2. 再给自己的手机或电脑绑定 Passkey

这样做的好处是:

  • 日常登录更快
  • 仍保留 TOTP 作为兜底恢复方式

详细说明见:

第 4 步:配置 SSL

直连模式下,SSL 尤其值得尽早完成,原因有三个:

  1. 浏览器体验更稳定
  2. Passkey 在 HTTPS 场景下更可靠
  3. 你会更容易判断“访问异常”到底是证书问题还是链路问题

可以选择:

  • 上传已有证书
  • 先用自签证书
  • 有域名时使用 ACME 证书

详细说明见:

第 5 步:如果公网地址会变化,再配置 DDNS

直连模式下,DDNS 很常见,因为你往往是把域名直接指向自己的公网 IPv4 / IPv6。

是否需要 DDNS,可以这样判断:

  • 公网 IP 长期稳定:可以不急着配
  • 公网 IP 会变,或者你不想记 IP:建议配置

推荐阅读:

第 6 步:从真正的外部网络完成验证

不要只在局域网里测一次就结束。

推荐的验证顺序:

  1. 用手机蜂窝网络或其他外部网络访问你的 7999
  2. 先完成人机验证
  3. 再完成 TOTP 或 Passkey 登录
  4. 登录成功后,再测试 5666 或你平时要访问的其他端口

如果你只在同一局域网里测试,很容易误以为公网链路已经正确。

自动放行到底会发生什么

如果你当前没有关闭“登录后 IP 授权”,最常见的体验是:

  • 默认不勾选 记住我:登录会话和自动白名单通常约 24 小时
  • 默认勾选 记住我:可延长到约 1 年
  • 这两个默认值现在都可以在 系统设置 → 凭据 里调整
  • 这些有效白名单记录还会同步到底层防火墙放行
  • 点击退出登录:当前登录生成的自动白名单会被一起清掉

所以,直连模式里最需要理解的一件事是:

你登录成功后,真正被放行的是“当前出口 IP”,而不是“某台设备的名字”。

如果你的外部网络 IP 经常变化,直连模式的体验就会明显变差。

更具体地说:

  • 如果你继续访问的是飞牛原始端口或其他业务端口,这些请求本身不会自动迁移白名单
  • Wi-Fi、蜂窝网络或公网出口发生变化后,你通常需要先回到 7999 的网页入口刷新一次
  • 等白名单迁到新 IP 后,再回到飞牛 App 或其他端口继续访问

什么时候应该放弃直连,切去子域或反代

如果你出现下面任一情况,通常就该优先考虑子域模式:

  • 你已经有正式域名
  • 你主要访问的是 Web 服务
  • 你想用 alist.example.comjellyfin.example.com 这类独立子域
  • 你不想再依赖“登录后对白名单 IP 放行”这套模型
  • 你希望后续使用智能连接、子域书签导出或 EdgeOne / ESA 回源

如果你出现下面任一情况,通常就该考虑反代模式:

  • 你没有公网 IP
  • 你需要 FRP 或 Cloudflared
  • 你希望多个服务共用一个入口

什么时候应该把直连升级成子域模式

如果你其实仍然有公网入口,但访问对象已经逐渐变成一组 Web 服务,例如:

  • AList
  • Jellyfin
  • 各类仪表盘

并且你更希望它们分别变成:

  • alist.example.com
  • jellyfin.example.com

而不是继续靠原始端口访问,那么通常更适合:

可以把它理解成:

子域模式是直连模式在 Web 服务入口体验上的升级版。

这也是当前更推荐的升级方向。

下一步可以看:

QQ群:1081609274

Copyright © fn-knock docs