ARM 上共维护 3 套独立白名单 snippet,各自覆盖不同服务范围。
| VPS | IP | loveason-private | komari-probe | worker-hermes |
|---|---|---|---|---|
| ARM | 129.146.59.53 |
✓ | ✓ | ✓ |
| JP (JPC) | 64.118.144.182 |
✓ | ✓ | — |
| JPA | 13.112.210.201 |
✓ | — | ✓ |
| USA | 186.241.84.19 |
✓ | ✓ | — |
| HKA | 38.76.188.244 |
✓ | ✓ | ✓ |
| HKY | 185.155.235.171 |
✓ | ✓ | — |
| SGA | 52.220.159.135 |
✓ | ✓ | ✓ |
| HKB | 43.198.253.212 |
✓ | ✓ | ✓ |
| KRA | 161.118.141.160 |
✓ | — | ✓ |
| DEA | 47.254.140.158 |
✗ 缺失 | ✓ | ✓ |
| KRB | 131.186.27.212 |
✗ 缺失 | ✓ | ✗ 缺失 |
| UKA | 167.71.140.103 |
✗ 缺失 | ✓ | ✗ 缺失 |
| AUS | 134.199.173.24 |
✗ 缺失 | ✓ | ✗ 缺失 |
loveason-private: 主站私有路径 (www.loveason.com 大部分 location) · komari-probe: nz.loveason.com 监控探针专用 · worker-hermes: worker.loveason.com API 专用
loveason-private-allowlist.conf 缺失以下 inventory 中的 VPS IP:
| 标签 | IP | 角色 | 影响 |
|---|---|---|---|
| DEA | 47.254.140.158 |
Hermes installed | 无法从 DEA 访问主站私有路径(/panel、/cron、/ray、/reports 等) |
| KRB | 131.186.27.212 |
edge | 无法从 KRB 访问主站私有路径 |
| UKA | 167.71.140.103 |
edge | 无法从 UKA 访问主站私有路径 |
| AUS | 134.199.173.24 |
edge | 无法从 AUS 访问主站私有路径 |
注意: worker-hermes-vps-allowlist 同样缺失 KRB、UKA、AUS。komari-probe 是最完整的(包含全部 13 台 + localhost)。
| 位置 | 问题 | 现状 | 应改为 |
|---|---|---|---|
loveason-private-allowlist.conf |
JP 标签与 inventory 不一致 | 64.118.144.182 # JP |
# JPC (inventory label) |
worker-hermes-vps-allowlist.conf |
HKB 标签拼写错误 | 43.198.253.212 # HKC |
# HKB (inventory label) |
以下路径未加白名单(对公网开放),均属合理设计:
| 路径 | 站点 | 内容 | 风险评估 |
|---|---|---|---|
/ | www.loveason.com | 静态首页 /var/www/home | 安全 纯静态展示页 |
/favicon.* | www.loveason.com | 网站图标文件 | 安全 公共资源 |
/apple-touch-icon.png | www.loveason.com | iOS 图标 | 安全 公共资源 |
/data.json | www.loveason.com | 首页动态数据 | 安全 公共展示数据 |
/.well-known/acme-challenge/ | www.loveason.com | ACME 证书续期 | 安全 必须公网可达 |
return 410 | status.loveason.com | 已下线状态码 | 安全 无内容暴露 |
return 404 | worker.loveason.com / | 默认拒绝 | 安全 /v1/ 受双白名单保护 |
www.loveason.com.conf 末尾的 location / 兜底规则已包含 cliproxy-managed-vps-allowlist.conf,所有未被上方 public location 匹配的路径都会被白名单拦截。
这意味着:即使未来新增路径忘记加白名单,默认也会被 deny all。只有明确列出的 public 路径(/、/favicon.* 等)才对公网开放。
| 站点 | 总 location 数 | 有白名单 | 公开 | 覆盖 snippet | 状态 |
|---|---|---|---|---|---|
| www.loveason.com | ~40 | ~35 | 5 | cliproxy-managed / loveason-private | 完善 |
| hermes.loveason.com | 7 | 6 | 1 (.well-known) | cliproxy-managed | 完善 |
| nz.loveason.com | 1 | 1 | 0 | komari-probe | 完善 |
| worker.loveason.com | 2 | 1 (/v1/) | 1 (return 404) | cliproxy + worker-hermes (双层) | 完善 |
| chat.loveason.com | 1 | 1 | 0 | cliproxy-managed | 完善 |
| long.loveason.com | 1 | 1 | 0 | cliproxy-managed | 完善 |
| status.loveason.com | 1 | 0 | 1 (return 410) | — | 安全 已下线 |
| cards-sub-local (default) | 5 | 5 | 0 | loveason-private | 完善 |
| # | 动作 | 优先级 | 说明 |
|---|---|---|---|
| 1 | 补齐 loveason-private 缺失 IP | 中 | 添加 DEA / KRB / UKA / AUS 到 loveason-private-allowlist.conf(如这些节点确实需要访问主站私有路径) |
| 2 | 补齐 worker-hermes 缺失 IP | 中 | 添加 KRB / UKA / AUS 到 worker-hermes-vps-allowlist.conf(如需从这些节点调用 worker API) |
| 3 | 修正标签名称 | 低 | JP→JPC、HKC→HKB,保持与 inventory 一致,便于后续维护 |
| 4 | cards-sub-local 清理 | 低 | server 块外的孤立 include allowlist 语句应移入 location 块内或删除(当前无实际功能影响) |