WorkBuddy设置IP访问限制ACL方法

本文详解了在WorkBuddy企业环境中强化Claw远程控制通道安全的三层IP访问控制（ACL）实战方案：从操作系统级iptables快速封禁恶意IP、到Claw服务内置白名单实现应用层精准放行，再到前置网关设备部署集中式高级ACL保障全链路防护，覆盖物理机、容器、多节点集群等各类部署场景，帮助运维人员在仅依赖企业微信身份认证存在风险时，有效阻断非授权IP的连接尝试，兼顾安全性、可审计性与高可用性。

如果您在部署WorkBuddy企业团队环境时，需防止非授权设备通过Claw远程控制通道接入桌面端，但发现当前仅依赖企业微信身份认证无法阻断特定恶意IP的连接尝试，则可能是由于Claw服务未启用网络层访问控制。以下是为WorkBuddy后端Claw通道配置ACL规则以限制特定IP访问的操作步骤：

一、在Claw服务宿主设备上配置系统级防火墙ACL

该方法直接作用于Claw服务监听的TCP端口（默认为5001），利用操作系统内置防火墙实现最基础的IP粒度过滤，无需修改WorkBuddy或Claw源码，适用于所有部署形态（物理机、虚拟机、容器）。

1、确认Claw服务当前监听地址与端口：执行netstat -tuln | grep :5001，验证输出中包含0.0.0.0:5001或:::5001。

2、在Linux系统中使用iptables添加拒绝规则：执行iptables -I INPUT -p tcp --dport 5001 -s 192.168.5.200 -j DROP，立即拦截来自192.168.5.200的全部连接请求。

3、保存iptables规则持久化：执行iptables-save > /etc/iptables/rules.v4（Debian/Ubuntu）或service iptables save（CentOS 7）。

4、验证规则生效：从被禁IP主机执行telnet 5001，应显示连接超时或被拒绝；其他允许IP仍可正常建立连接。

二、在Claw服务配置文件中嵌入IP白名单ACL

该方法通过Claw服务自身支持的访问控制机制，在应用层完成IP校验，具备更高精度和可审计性，能记录拒绝日志并兼容Token鉴权流程，适用于已启用Claw API模式的企业部署场景。

1、定位Claw配置文件：进入WorkBuddy安装目录下的claw/config.yaml（Windows路径示例：C:\Program Files\WorkBuddy\claw\config.yaml；macOS路径示例：/Applications/WorkBuddy.app/Contents/Resources/claw/config.yaml）。

2、在配置文件末尾新增access_control区块：插入以下YAML内容，注意缩进为两个空格：

access_control:

  enabled: true

  allow_list:

    - "10.20.30.0/24"

    - "172.16.0.100"

    - "2001:db8::1"

3、重启Claw服务进程：执行systemctl restart claw（Linux systemd）、net stop claw && net start claw（Windows服务）或杀掉claw进程后重新运行claw --config config.yaml。

4、检查Claw启动日志：在claw/logs/claw.log中确认出现"Access control enabled, allow list loaded"字样，且后续拒绝请求日志含"IP 192.168.5.200 denied by ACL"。

三、在前置网关设备上部署网络设备级ACL

该方法将ACL策略下沉至企业网络边界（如华为USG防火墙、S系列交换机），对所有发往Claw服务器的流量统一实施过滤，避免单点服务配置失效风险，适用于多WorkBuddy节点集群且已部署集中网关的大型企业环境。

1、登录网关设备命令行界面，进入系统视图：system-view。

2、创建高级ACL用于匹配Claw流量：acl number 3001，随后逐条添加规则：

rule 5 deny ip source 192.168.5.200 0 destination 0

rule 10 permit tcp source 10.20.30.0 0.0.0.255 destination 0 destination-port eq 5001

rule 15 permit tcp source 172.16.0.100 0 destination 0 destination-port eq 5001

3、在Claw服务器所在网段的入接口应用ACL：interface GigabitEthernet1/0/24，然后执行traffic-filter inbound acl 3001。

4、验证策略效果：在网关设备执行display traffic-filter applied-record，确认ACL 3001已在指定接口入方向生效；同时使用display acl 3001查看命中计数，确认拒绝规则有非零匹配值。

今天关于《WorkBuddy设置IP访问限制ACL方法》的内容就介绍到这里了，是不是学起来一目了然！想要了解更多关于的内容请关注golang学习网公众号！