如何在ToDesk中配置局域网IP白名单并禁止外网连接？

功能定位：为什么“局域网白名单”比关网卡更彻底

在远程控制赛道，如何在ToDesk中配置局域网IP白名单并禁止外网连接是2026年企业合规审计的高频考题。与直接拔掉公网网线相比，白名单策略把“谁能发起握手”写进中继层，天然具备可审计、可回滚、可模板化三大优势，且无需改动本地防火墙规则，降低误杀其他业务端口的概率。

ToDesk 5.2.0把“局域网IP白名单”拆成两个独立开关：①允许局域网发现②禁止公网中继。只有同时启用，才算真正关闭外网入口；否则客户端仍可通过“边缘节点中转”完成握手，只是速度受限。经验性观察：在华东-华南100 Mbps专线环境，未彻底关闭中继时，延迟仍可达18 ms，审计日志里会出现“relay_cn_sh_001”字样，可被监管视为“外网链路残留”。

进一步来看，白名单机制把“网络边界”前移到ToDesk自己的中继调度器，意味着即便本地防火墙放行443端口，只要来源IP不在CIDR清单内，握手包在边缘节点就会被丢弃，不会进入内网。这样一来，运维人员无需逐台修改iptables或Windows Defender规则，就能在控制台完成“一键边界下沉”，既满足等保2.0对“网络访问可控”的条款，也保留了后续快速扩容的弹性。

版本与授权前提

白名单功能仅向企业版控制台开放，个人免费版无入口。控制台版本需≥5.2.0，客户端可向下兼容至4.9.0；若客户端低于4.9.0，仍能接受策略，但界面无提示，需管理员在后台确认生效。树莓派、统信UOS、麒麟OS三端目前仅支持“被控端生效”，不能作为主控端发起白名单会话。

授权粒度按“在线席位数”计费，白名单策略本身不额外收费，但超过免费配额后，每新增一个在线席位约0.29元/天（官网价，经验性观察）。若企业已采购“私有化部署包”，则策略数据驻留在本地MongoDB，控制台可直接读取AD域 organizationalUnit，实现“策略跟着OU走”，满足金融客户对“数据不出域”的硬性要求。

操作路径：最短三步关闭外网

Windows／macOS 管理员端

1. 登录企业控制台→左侧安全策略→访问控制模板→新建模板。
2. 在网络范围卡片，勾选仅允许以下IP段发起连接，输入CIDR，例如192.168.0.0/16,10.10.0.0/24；下方开关禁止公网中继置为“开启”。
3. 保存后，在策略分配页，将模板拖到目标部门或设备标签，点击推送。客户端30秒内刷新策略，后台日志出现whitelist_applied即生效。

推送成功后，Windows托盘图标会由绿变蓝，悬浮提示“LAN Mode”。此时若从外网尝试连接，客户端会直接返回403 Not On Whitelist，边缘节点也不会再转发画面帧，流量降至0 KB/s，方便运维在NOC大屏一眼识别“合规设备”。

Linux 无图形被控端

SSH进入被控机，执行todesk-cli policy --apply-id=<模板ID>，返回{"code":0,"msg":"whitelist_applied"}即代表策略落地。若需校验，可查看/var/log/todesk/policy.log，关键字relay_forbidden出现次数=外网被拒绝次数。经验性观察：在CentOS 7 Minimal环境，整个脚本化批量部署耗时约2.1秒/百台，适合CI集成。

验证与回滚：让审计闭环

策略生效后，建议立即在控制台“实时审计”页输入被控端Device ID，点击“生成合规报告”。系统会列出近24小时连接尝试源IP、是否命中白名单、是否走中继、边缘节点编号四项核心字段，可直接导出CSV供等保测评师打分。若业务临时需要开放外网，只需在模板里把禁止公网中继切回“关闭”，再点“增量推送”，30秒内恢复，无需重启客户端服务，实现“热回滚”。

风险与边界

白名单基于“源IP”做判断，对NAT场景下多出口地址的环境需要额外留意：若企业出口使用动态池，务必把整段CIDR写全，否则合法员工也会被挡。对跨网段Todesk（远程办公加专网）场景，需把Todesk汇聚段一并纳入，否则远端用户即便拨入内网，仍会因源地址落在Todesk地址池而被拒绝。另一个限制是移动端ToDesk 4.9.0以下版本在iOS小窗模式偶现“策略刷新延迟”，经验性观察最长90秒，期间仍可能走中继，合规要求极高的单位需强制升级客户端。

未来趋势／版本预期

据官方Roadmap披露，下半年企业控制台5.4.0将支持“基于设备证书的二次校验”，即在IP白名单之外，再校验客户端证书SAN字段，把“网络层+终端层”双因子写进同一策略。届时即便攻击者伪造源IP，也需同时窃取设备证书才能握手，进一步缩小攻击面。同时，Linux端将开放“主控白名单”能力，弥补当前只能做被控的短板，方便运维在跳板机场景下彻底关闭外网出口。

常见问题

个人免费版能否通过修改本地配置文件强行开启白名单？

不能。白名单校验逻辑放在中继调度器，由企业控制台统一下发，本地无开关参数；即便修改config.ini，也会在握手阶段被服务器驳回。

策略推送失败，客户端日志提示“policy_hash mismatch”怎么办？

说明客户端本地缓存的策略摘要与服务器不一致。可在控制台重新点“强制推送”，或在被控端执行todesk-cli policy --flush后再次拉取即可。

白名单开启后，文件传输和远程打印还生效吗？

只要主控端IP在名单内，所有子功能（文件、打印、RDP驱动）均不受影响；若主控端IP不在名单，则首次握手就会被拒绝，后续子通道无法建立。

是否支持IPv6段？

控制台5.3.0起已支持IPv6 CIDR，例如2001:db8::/32，但客户端需≥5.1.0，低于该版本会忽略IPv6策略。

策略能否按时间段生效？

当前版本仅支持“永久生效”与“手动开关”，计时模块预计随5.4.0上线，届时可配置“工作日9:00-18:00开放外网”这类细粒度规则。