IMC做钉钉认证，钉钉公网回调到IMC的映射地址是固定的吗

针对你的两个问题，结论很明确：

1. 钉钉的回调地址（服务器出口IP）是固定的吗？ 是的，必须是一个固定的公网IP地址。 钉钉平台要求配置一个固定的服务器出口IP，以便在安全配置中将其加入白名单。不支持使用动态域名（DDNS），因为钉钉的安全机制是基于IP白名单的。

2. 如何配置防火墙只放通钉钉的回调访问？ 在你的出口防火墙上，创建一个只允许钉钉官方服务器源IP地址访问你IMC公网映射地址的安全策略，并置于规则列表的最顶部，再添加一条拒绝所有其他源IP访问的规则即可。

1️⃣ 钉钉回调地址配置

关于钉钉的回调地址，你需要重点理解以下几点：

• 本质：你配置在钉钉开发者后台的，是你的 IMC服务器对外的公网IP或域名。钉钉服务器通过这个地址，将认证结果推送给你的IMC服务器。

• IP地址的固定性：钉钉平台要求使用固定的公网IP地址。如果你的出口是动态IP，钉钉的白名单机制将无法正常工作，会返回“访问ip不在白名单”的错误。

• 格式：配置时，格式通常为 http(s)://公网IP:端口/weixin/dd。具体路径请参考你使用的iMC版本的官方文档。

• 钉钉的源IP地址：钉钉服务器用来访问你IMC服务器的源IP地址不是固定不变的。钉钉官方提供了一个IP地址段列表，你的防火墙安全策略需要放通这个列表。H3C的官方配置举例中也明确提到，需要放通***.***等多个域名和IP。你可以在钉钉开放平台的“开发管理”页面找到“服务器出口IP”的配置项。

2️⃣ 防火墙安全策略配置

为了避免暴露风险，建议你采用白名单模式，仅允许钉钉的服务器来访问你的IMC服务。操作思路如下：

1. 创建IP地址对象组：在你的防火墙上，创建一个名为 DingTalk_Servers 的地址对象组，将钉钉官方提供的所有IP地址段都添加进去。

2. 配置安全策略：创建两条策略，并确保精确放行的策略在拒绝策略之上。

   • 策略1（精确放行）：源地址 = DingTalk_Servers，目的地址 = 你的IMC服务器公网IP，动作 = 允许。

   • 策略2（兜底拒绝）：源地址 = 任意，目的地址 = 你的IMC服务器公网IP，动作 = 拒绝。