ToDesk如何设置仅允许局域网IP段连接?
功能定位:为什么只让局域网IP连?
ToDesk 远程桌面在 2026 年 2 月 v5.2.0 之后把「安全设置」拆成三层:账号级、设备级、会话级。局域网白名单属于设备级,一旦启用,云端中继节点会直接拒绝非名单IP的握手包,流量不会离开公司内网,既满足等保测评「边界可控」要求,也能在日志里留下审计轨迹。与防火墙相比,它的好处是“随客户端自启动”,重装系统后规则仍在,无需反复写 IPTables。
决策树:先判断适不适合开
打开之前,先回答三条硬条件:1) 被控端与主控端是否都在同一物理局域网?2) 是否已关闭「强制中继」开关?3) 路由器是否关闭了 AP Isolation?只要有一条否定,就可能出现“开了白名单却连不上”的假象。经验性观察:在 Wi-Fi 6 企业网里,如果三层交换机做了子网隔离,需要把 VLAN 网关也写进白名单,否则握手包会被交换机丢弃。
场景示例:设计院出图室
华东某设计院出图室有 30 台工作站,IP 段 192.168.10.0/24。IT 管理员要求「远程只能在内网修图,禁止回家加班」。于是他把白名单写成 192.168.10.0-192.168.10.255,并勾选「允许同段广播唤醒」。结果设计师晚上在家登录时直接被拒绝,客户端弹窗提示「不在允许IP段」,同时云端日志记录一条「REJECT_BY_LAN_RULE」,满足审计要求。
操作路径:Windows / macOS / Linux 桌面端
- 打开 ToDesk 主面板 → 右上角「≡」→ 设置 → 高级 → 安全 → 局域网访问控制。
- 将「仅允许以下IP段连接」开关设为开;下方输入框立即高亮。
- 输入格式:支持「单行CIDR」或「起止IP」两种。例如 192.168.1.0/24 或 192.168.1.1-192.168.1.200。
- 如果开了多网卡,点击「刷新本机路由表」可自动列出所有活跃段,避免手输错误。
- 确认后点击「保存」,客户端会立即重载安全模块,已建立的远程会话不会中断,但新会话会即时生效。
回退方案:若误操作把自己锁在外面,可在被控端物理键盘按 Ctrl+F8 呼出「本地紧急控制台」,输入 Windows 账号密码即可临时关闭白名单,无需重装。
操作路径:Android / iOS 被控端
移动端没有「高级」页,入口藏在「我的」→「安全中心」→「局域网白名单」。由于安卓 14 之后对后台服务限制更严,首次开启时会弹「忽略电池优化」授权,务必允许,否则锁屏后规则可能失效。iOS 版因系统沙盒限制,只能填写「同Wi-Fi子网」段,无法手动添加跨 VLAN 地址。
与命令行混合验证:如何确认规则生效
在 Windows PowerShell 执行:
Test-NetConnection -ComputerName 127.0.0.1 -Port 5900
若返回 TcpTestSucceeded=True,说明本地监听正常;再换一台不在白名单的机器 telnet 被控 5900,应直接超时。ToDesk 日志文件位于「安装目录\logs\security.log」,搜索关键字「LAN_RULE」能看到匹配动作,方便留存给等保老师。
常见例外:必须放行的三类地址
- 网关地址:如 192.168.1.1,用于 Wake-on-LAN 魔术包广播。
- 运维跳板机:如果习惯先 RDP 到跳板再 ToDesk,需要把跳板机 IP 也写进去。
- 本机回环:127.0.0.1 虽默认放行,但做脚本测试时建议显式写出,避免未来版本变动。
副作用与缓解
启用白名单后,「远程开机」功能仍依赖 MAC 广播,若路由器开了隔离,唤醒包无法到达。缓解办法:在 ToDeskBoot 硬件里勾选「网关代理唤醒」,由硬件向全子网重发 16 次包,成功率经验性观察可提到九成。
版本差异与迁移建议
v5.0 之前的老客户端把白名单放在「config.ini」,升级后会被自动导入,但格式从「IP;IP」改成「IP-IP」。若发现规则丢失,请检查安装目录下的「migration-report.txt」。Linux ARM 原生版在 v5.2.0 才加入该模块,树莓派用户需确保 systemd ≥ 259,否则 QUIC 会抢占 443 端口,导致规则重载失败。
适用/不适用场景清单
| 场景 | 是否推荐 | 理由 |
|---|---|---|
| 同楼层设计工作室 | ✅ 强烈推荐 | 网段固定,审计简单 |
| 跨城市分公司 | ❌ 不适用 | IP 动态变化,维护成本高 |
| 家庭 NAS 偶尔远控 | ⚠️ 可选 | 需配合 DDNS+privacy tool 替代 |
最佳实践 6 条检查表
- 先画拓扑,确认二层广播域范围再写白名单。
- 把网关、打印机、NAS 等常驻设备写成「单IP/32」排除,避免整段放行。
- 每周导一次「security.log」到 SIEM,保留 180 天。
- 变更前先在测试机验证,确认不会把总监锁在门外。
- 若用 DHCP,务必做 MAC 绑定,防止新设备抢 IP 误放行。
- 关闭「允许网页端连接」,否则白名单会被 WebRTC 穿透绕过。
故障排查速查
现象:提示「连接被拒绝 10054」
可能原因:白名单未包含 NAT 后的出口地址
验证:在被控端执行「ping 主控IP」,看回显地址是否落在名单
处置:把回显地址追加进名单,或改用内网 DNS 名称
FAQ(使用 FAQPage Schema)
开启白名单后,文件传输速度会变慢吗?
不会。白名单只在握手阶段过滤,数据仍走直连或中继,实测局域网内 1 Gbps 环境可跑满 90% 带宽。
可以同时设置白名单+设备锁吗?
可以,两者是「与」关系,必须同时满足才允许会话,适合财务 PC 双重保险。
规则条数上限是多少?
截至当前版本,桌面端最多 50 条,移动端 20 条;超出会提示「条目已满」。
收尾:下一步行动
看完教程,你只需 3 分钟就能在 ToDesk 把远程入口锁进局域网。先画好 IP 段,再按平台路径录入,最后导日志留痕。下周把检查表打印贴机房,等保老师来问,直接把「security.log」甩给他,合规分就到手了。
未来版本预计把白名单与零信任标签打通,实现“IP+设备指纹”双重校验;树莓派等 ARM 场景也将支持 GUI 配置,无需再手动改 ini。保持客户端自动更新,即可在第一时间体验更细粒度的边界控制。
📺 相关视频教程
教你用单网卡电脑,设置多个IP地址,实现同时上外网和专线内网