IP过滤

功能介绍

IP 过滤通常应用于多个模块，默认支持黑名单和白名单两种规则。管理员还可以灵活创建多条自定义过滤策略。其中，全局黑名单优先级最高，系统会在执行其他规则前先进行全局黑名单校验，从而有效阻止未经授权的访问。

自动记录IP设置

自动记录IP设置

比如您可以创建一个自定义隐藏接口连接。在访问此端口之前，您需要首先访问隐藏链接。这样，您的IP地址会自动添加到白名单列表中，使您能够成功访问该端口。这种方法通常用于增强安全性，限制只有经过授权的用户才能访问特定端口。

请求方式：GET

请求参数：

• ip（可选）：记录的IP，默认为客户端请求IP
• recordtype（可选）：记录类型 mem_txt / conf_txt，默认 mem_txt，记录进内存子规则，重启 Lucky 即失效
• rulekey（可选）：指定记录进哪条规则，默认值为 whitelist，可选值包括 whitelist、blacklist、globalblacklist 等。通过每个规则页面的自动记录IP设置对话框可查看其他自定义规则的 key
• netmask（可选）：子网掩码，支持格式：前缀长度表示法（如：/24）、点分十进制表示法（如：255.255.255.0）

您可以根据业务需求，自行收集并整理所需的省份或国家 IP 网段，将其添加到对应的黑名单或白名单规则中，以实现灵活的访问控制。

自动更新子规则

下面提供一种自动收集更新中国地区IP地址段的方法：

1. 先创建子规则
2. 进入计划任务模块添加计划任务 → 添加子任务 → 子任务类型：IP过滤规则更新，选择要定时更新的子规则
3. 更新类型：

   • RIR：支持链接响应格式参考下面：

     • https://ftp.afrinic.net/pub/stats/afrinic/delegated-afrinic-extended-latest
     • https://ftp.apnic.net/apnic/stats/apnic/delegated-apnic-latest
     • https://ftp.arin.net/pub/stats/arin/delegated-arin-extended-latest
     • https://ftp.lacnic.net/pub/stats/lacnic/delegated-lacnic-extended-latest
     • https://ftp.ripe.net/pub/stats/ripencc/delegated-ripencc-extended-latest

     中国地区IP在 https://ftp.apnic.net/apnic/stats/apnic/delegated-apnic-latest 中

     IP段过滤规则，一行一条规则：

     CN|ipv4
     CN|ipv6

     表示中国地区IP，依次类推。国家码查询：https://chahuo.com/country-code-lookup.html

   • 接口：返回内容必须一行一个IP或IP段，参考 https://release.66666.host/iplist/

IP地址信息子规则类型说明（付费功能）

子规则可根据 IP 地址查询结果或匹配的字符串来判断是否命中。

"IP地址信息" 与 "IP地址信息全" 的区别：

• IP 地址信息：仅基于第一个匹配到的离线地址库查询结果进行判断
• IP 地址信息全：会基于所有匹配到的离线地址库查询结果进行判断

---

配置示例：设置仅白名单访问

以下是一个完整的白名单配置示例，实现仅允许特定IP访问的效果。

1. 添加白名单子规则

进入 Lucky 管理页，左侧菜单栏 → IP过滤 → 白名单 → 添加子规则

添加局域网IP白名单

添加子规则，名称自定义，比如 "局域网IP"

IP列表填写：

192.168.31.0/24

注意

请确保添加自己的内网IP网段，否则可能被拦截导致无法访问 Lucky 管理页。如果误操作被拦截，可删除配置目录下的 lucky_ipfilter.lkcf 文件后重启 Lucky，即可清空 IP 过滤模块配置。

添加省市IP白名单

添加子规则，名称自定义，比如 "上海ip清单"，IP列表留空（后续通过计划任务自动拉取）

2. 设置定时更新省市白名单

Lucky 管理页，左侧菜单栏 → 计划任务 → 添加计划任务

配置说明：

• 任务备注：自定义命名，比如 "定时更新白名单"
• 执行周期：每N小时执行一次 → 1小时
• 添加子任务：
  • 子任务类型：IP过滤规则更新
  • 规则列表：白名单
  • 子规则列表：选择需要更新的自定义白名单
  • 更新类型：接口
  • 接口地址：填入自定义白名单对应的地址库接口
  • 其他选项保持默认设置

IP地址库

Github IP地址库项目：https://github.com/metowolf/iplist

省份	接口地址
上海	https://metowolf.github.io/iplist/data/cncity/310000.txt
浙江	https://metowolf.github.io/iplist/data/cncity/330000.txt
山东	https://metowolf.github.io/iplist/data/cncity/370000.txt

IPv6 地址库

上述地址库仅包含 IPv4 网段，如需 IPv6 网段请从 https://release.66666.host/iplist/ 获取。

设置完成后，点击手动触发，即可拉取IP库至自定义的白名单中，并按设定自动更新。

3. 应用白名单到Web服务

Lucky 管理页，左侧菜单栏 → Web服务

修改 Web 服务规则 → IP过滤规则 → 选择白名单

主规则与子规则的区别

可以在主规则配置，也可单独配置某条子规则。主规则生效时，优先度高于子规则的配置。

• 主规则：在 TCP 连接建立的底层进行检测，无法识别 Header 中的客户端 IP（如经过代理转发的真实 IP），但检测更高效且具有更好的隐蔽性（拦截后不会暴露端口服务类型）
• 子规则：在应用层进行检测，可识别 Header 中的客户端 IP，但会暴露端口属于 Web 服务

4. 配置自动记录IP

Lucky 管理页，左侧菜单栏 → IP过滤 → 白名单 → 自动记录IP设置

填写 Lucky 的用户名和密码，其他保持默认，保存配置。

访问安全入口时，即可认证并自动将登录设备的IP添加至 Lucky 的白名单。