通过识别访问者公网 IP 地址或 CIDR 地址段,精确允许或屏蔽特定网络的 IP 地址对隧道服务的访问。订阅后可在 HTTPS、TCP 协议隧道的流量策略中配置。

前置条件

  • 已订阅 IP 黑白名单插件(参见 集成中心
  • 已创建至少一条隧道

核心配置项

配置项说明
策略开关开关控制,关闭时下方规则不生效
模式黑名单:拦截列表中的 IP/网段,其余放行。白名单:仅允许列表中的 IP/网段,其余拦截
IP 来源remote_addr:使用网关直接获取的客户端 IP(直连推荐)。x_forwarded_for:通过 HTTP Header 中的 X-Forwarded-For 字段获取真实 IP(经过代理/CDN 时使用)

操作步骤

1. 进入配置页

进入 控制台 → 隧道管理,找到目标隧道,点击隧道右侧 流量策略 菜单,展开流量策略配置页面,点击 IP 黑白名单 选项。

2. 进入编辑模式

点击右上角 编辑,系统弹出配置侧边栏。

3. 启用策略

启用 开关打开。关闭时所有 IP 规则不生效。 IP 黑白名单策略开启时,显示为 active,IP 黑白名单策略关闭时,显示为 deactive

4. 配置规则

  • 选择模式:根据需求选择黑名单(denylist)或白名单(allowlist)模式
  • 选择 IP 来源:直连场景选 remote_addr,经过代理或 CDN 选 x_forwarded_for
  • 添加 IP/网段:点击 + Add 添加 CIDR 规则,在输入框中填写 IP 地址(如 116.228.x.x)或 CIDR 网段(如 192.168.1.0/24
  • 删除规则:点击已有规则右侧的删除图标即可移除

5. 保存生效

点击 保存,策略状态变为已启用,规则即时在网关生效。如需放弃改动,点击 取消 关闭即可。

注意事项

  • 客户端在线状态:隧道绑定的客户端设备须处于在线状态,否则策略无法生效。
  • 多策略联动:如果同时启用了 Basic 鉴权、IP 黑白名单和 地理围栏,网关按以下顺序逐层校验:Basic 鉴权 → IP 黑白名单 → 地理围栏。当前层未通过即拒绝,不会进入下一层。