本教程为原创教程，转载需注明来源及作者。

关键词

爱快 IKUAI 防火墙 ACL 封禁 恶意IP 限制 来源IP 访问IP SSH WEBUI 远程控制 RDP Fail2BAN

背景

我们转发了端口到公网的人都会面临一个难题，比如转发Windows的远程控制RDP，比如NAS的SSH服务或者其他WEBUI服务，老是有许多恶意IP来探测并尝试爆破。诚然，比如群晖会自带防火墙，Linux也可以使用fail2ban或者其他防火墙来实现自动封禁恶意IP，这些都是有效的手段。

之前，我使用fail2ban来实现自动封禁恶意IP，后来发现每天都会在几十个IP被封禁，一段时间以后，当fail2ban的封禁数量上千后，由于机器性能差，fail2ban竟然占用了好多资源。后来换爱快按下载流程设置后，fail2ban清静了好多，机器性能也恢复了。而像把Windows的远程桌面端口转发出去，无论你是不是用的3389端口，可能每天都会有IP进行几万次爆破尝试。

不过这里想要说明的是，以爱快作为主路由时一个更好的保护方式，就是充分利用爱快的IP分组，结合端口转发功能或ACL功能来实现。当然，这只是保护措施的一种，最重要的，不要使用弱密码，不要使用默认密码，SSH使用私钥而非密码等等。

流程

1. 下载（或者点击文件右上角的Copy raw content按钮复制下来保存为csv文件） 这个 文件（不定期更新），在爱快设置中 网络设置 -> 终端分组设置 -> IP分组处导入。

2. 限制访问来源

   方式1：使用安全设置 -> ACL规则（需要先设置好端口转发，使用ACL时，端口转发可以不限制任何来源），参考下面的方式，允许你所在地区的对应的运营商的IP转发到你所使用的端口（目的地址可以不填，如果要填可以填端口转发对应的目标设备IP，也可以填整个本地网络，如10.0.0.0/8、172.16.0.0/16或192.168.0.0/24，连接方向匹配为原始方向），而阻断其他所有IP访问对应的端口。

   

   方式2：某些旧版本爱快的ACL功能可能是失效的（你可以自行测试，比如阻断你所在省份后手机使用蜂窝网访问），这时只能在网络设置 -> 端口映射 -> 端口映射处，给每一条需要限制访问来源IP的条目选择对应的IP分组。

   

说明

1. ACL功能失效的时候，使用端口映射功能来限制时，每一条需要限制访问来源的条目需要分别设置，所以需要限制的端口和不需要限制的端口需要分成两条；
2. 需要限制访问来源的服务一般是WEBUI、RDP、SSH等（基本上都是tcp协议），像BT/PT软件（uTorrent, qBittorrent, transmission, deluge等等）等P2P的监听端口（tcp+udp协议）就不要限制访问来源IP；
3. 爱快路由器自己的WEBUI端口不要限制，要不然万一你IP不在允许范围内，改都都不了；
4. 建议允许访问的来源IP都选上未知的IP分组，尤其是中国移动，除了选择你所在省份，一定要选上未知移动。

IPv6

IPv6的ACL设置请在 这里 查看。