使用Frp内网穿透工具
简单好用的内网穿透代理工具
frp 是一个专注于内网穿透的高性能的反向代理应用,支持 TCP、UDP、HTTP、HTTPS 等多种协议。可以将内网服务以安全、便捷的方式通过具有公网 IP 节点的中转暴露到公网。
1. frp 的特性介绍
一些概述便于您快速的了解 frp 工具
通过在具有公网 IP 的节点上部署 frp 服务端,可以轻松地将内网服务穿透到公网,同时提供诸多专业的功能特性,这包括:
- 代理组间的负载均衡
- 服务端和客户端
UI页面 - 端口复用,多个服务通过同一个服务端端口暴露
- 高度扩展性的服务端插件系统,方便结合自身需求进行功能扩展
- 多个原生支持的客户端插件,便于独立使用
frp客户端完成某些工作 - 客户端服务端通信支持
TCP、KCP以及Websocket等多种协议 - 采用
TCP连接流式复用,在单个连接间承载更多请求,节省连接建立时间
2. frp 的原理介绍
理解它们有助于您更好地了解和使用 frp 工具
- [1] 原理
frp 主要由 客户端(frpc) 和 服务端(frps) 组成,服务端通常部署在具有公网 IP 的机器上,客户端通常部署在需要穿透的内网服务所在的机器上。内网服务由于没有公网 IP,不能被非局域网内的其他用户访问。用户通过访问服务端的 frps,由 frp 负责根据请求的端口或其他信息将请求路由到对应的内网机器,从而实现通信。
- [2] 代理
在 frp 中一个代理对应一个需要暴露的内网服务,一个客户端支持同时配置多个代理。
- [3] 类型
| 编号 | 类型 | 描述 |
|---|---|---|
| 1 | tcp |
单纯的 TCP 端口映射,服务端会根据不同的端口路由到不同的内网服务 |
| 2 | udp |
单纯的 UDP 端口映射,服务端会根据不同的端口路由到不同的内网服务 |
| 3 | http |
针对 HTTP 应用定制了一些额外的功能 |
| 4 | https |
针对 HTTPS 应用定制了一些额外的功能。 |
| 5 | stcp |
安全的 TCP 内网代理,需要在被访问者和访问者的机器上都部署 frpc,不需要在服务端暴露端口 |
| 6 | sudp |
安全的 UDP 内网代理,需要在被访问者和访问者的机器上都部署 frpc,不需要在服务端暴露端口 |
| 7 | xtcp |
点对点内网穿透代理,功能同 stcp,但是流量不需要经过服务器中转 |
| 8 | tcpmux |
支持服务端 TCP 端口的多路复用,通过同一个端口访问不同的内网服务 |
3. frp 的安装方式
关于如何安装 frp 的说明
frp 采用 Golang 语言编写,支持跨平台,仅需下载对应平台的二进制文件即可执行,没有额外依赖。目前可以在 Github 的 Release 页面中下载到最新版本的客户端和服务端二进制文件,所有文件被打包在一个压缩包中。
解压缩下载的压缩包,将其中的 frpc 拷贝到内网服务所在的机器上,将 frps 拷贝到具有公网 IP 的机器上,放置在任意目录。
# download
$ wget https://github.com/fatedier/frp/releases/download/v0.37.0/frp_0.37.0_linux_amd64.tar.gz
编写配置文件,先通过下面提供的命令来启动服务端和客户端。如果需要在后台长期运行,建议结合其他工具使用,例如 systemd 和 supervisor 工具。
# 启动服务端
$ ./frps -c ./frps.ini
# 启动客户端
$ ./frpc -c ./frpc.ini
4. Frp 的配置文件
配置文件如何编写可以参考示例中的内容
这里包括多个 常见的使用场景和配置 示例,你可以用来亲自部署和体验这些示例。
| 编号 | 类型 | 描述 |
|---|---|---|
| 1 | 服务端配置 | frp 服务端详细配置说明 |
| 2 | 客户端配置 | frp 客户端的详细配置说明 |
| 3 | 代理配置 | frp 代理的详细配置说明 |
| 编号 | 类型 | 描述 |
|---|---|---|
| 1 | 通过 SSH 访问内网机器 | 简单配置 TCP 类型的代理让用户访问到内网的服务器 |
| 2 | 自定义域名访问内网的 Web 服务 | 简单配置 HTTP 类型的代理让用户访问到内网的 Web 服务 |
| 3 | 转发 DNS 查询请求 | 通过简单配置 UDP 类型的代理转发 DNS 查询请求 |
| 4 | 转发 Unix 域套接字 | 配置 Unix 域客户端插件来通过 TCP 端口访问内网的 Unix 域服务 |
| 5 | 对外提供简单的文件访问服务 | 配置 static_file 客户端插件将本地文件暴露在公网上供其他人访问 |
| 6 | 为本地 HTTP 服务启用 HTTPS | https2http 插件可以让本地 HTTP 转换成 HTTPS 服务对外提供 |
| 7 | 安全地暴露内网服务 | 将会创建一个只有自己能访问到的 SSH 服务代理 |
| 8 | 点对点内网穿透 | 将会演示一种不通过服务器中转流量的方式来访问内网服务 |
- [1] 通过 SSH 访问内网机器
- 示例通过简单配置
TCP类型的代理让用户访问到内网的服务器 - 编辑好如下配置文件之后,就可以分别启动
frps和frpc了 - 然后,就可以
SSH来访问设置的内网机器了
- 示例通过简单配置
# 有公网IP的机器(已部署frps服务)
# 这里使用了最简化的配置,详情配置可参考官方文档
$ vim frps.ini
[common]
bind_port = 7000 # 设置frp服务器用户接收客户端连接的端口
# 在内网IP的机器(部署frpc服务)
# 默认情况下,SSH服务通常监听在22端口
$ vim frpc.ini
[common]
server_addr = x.x.x.x # 公网IP地址
server_port = 7000 # 公网设置frp服务器对应的端口
[ssh]
type = tcp
local_ip = 127.0.0.1 # 本地需要暴露到公网的服务地址
local_port = 22 # 本地需要暴露到公网的服务端口
remote_port = 6000 # 表示在frp服务端监听的端口
# 启动服务端
$ ./frps -c ./frps.ini
# 启动客户端
$ ./frpc -c ./frpc.ini
# 通过SSH访问内网机器
# frp会将请求x.x.x.x:6000的流量转发到内网机器的22端口
$ ssh -oPort=6000 test@x.x.x.x
- [2] 通过自定义域名访问内网的 Web 服务
- 通过简单配置
HTTP类型的代理让用户访问到内网的Web服务 - 编辑好如下配置文件之后,就可以分别启动
frps和frpc了 - 将
www.yourdomain.com的域名A记录解析到公网IP地址上 - 然后,就可以绑定自定义域名和端口来访问内网机器的服务了
- 通过简单配置
HTTP 类型的代理相比于 TCP 类型,不仅在服务端只需要监听一个额外的端口 vhost_http_port 用于接收 HTTP 请求,还额外提供了基于 HTTP 协议的诸多功能。
# 有公网IP的机器(已部署frps服务)
$ vim frps.ini
[common]
bind_port = 7000 # 设置frp服务器用户接收客户端连接的端口
vhost_http_port = 8080 # 设置监听HTTP请求端口为8080
# 在内网IP的机器(部署frpc服务)
$ vim frpc.ini
[common]
server_addr = x.x.x.x # 公网IP地址
server_port = 7000 # 公网设置frp服务器对应的端口
[web]
type = http # 协议类型
local_port = 80 # 本地机器上Web服务监听的端口
custom_domains = www.yourdomain.com # 绑定自定义域名
# 启动服务端
$ ./frps -c ./frps.ini
# 启动客户端
$ ./frpc -c ./frpc.ini
# 通过浏览器访问
$ http://www.yourdomain.com:8080
- [3] 安全地暴露内网服务
- 将会创建一个只有自己能访问到的
SSH服务代理
- 将会创建一个只有自己能访问到的
对于某些服务来说如果直接暴露于公网上将会存在安全隐患。使用 stcp(secret tcp) 类型的代理可以避免让任何人都能访问到要穿透的服务,但是访问者也需要运行另外一个 frpc 客户端。
# 有公网IP的机器(已部署frps服务)
$ vim frps.ini
[common]
bind_port = 7000 # 设置frp服务器用户接收客户端连接的端口
# 在内网IP的机器(部署frpc服务)
$ vim frpc.ini
[common]
server_addr = x.x.x.x # 公网IP地址
server_port = 7000 # 公网设置frp服务器对应的端口
[secret_ssh]
type = stcp # 使用的协议类型
sk = abcdefg # 只有sk一致的用户才能访问到此服务
local_ip = 127.0.0.1 # 本地需要暴露到公网的服务地址
local_port = 22 # 本地机器上Web服务监听的端口
# 想要访问内网服务的机器(部署frpc服务)
[common]
server_addr = x.x.x.x # 公网IP地址
server_port = 7000 # 公网设置frp服务器对应的端口
[secret_ssh_visitor]
type = stcp # 使用的协议类型
role = visitor # stcp的访问者
server_name = secret_ssh # 要访问的stcp代理的名字
sk = abcdefg # 只有sk一致的用户才能访问到此服务
bind_addr = 127.0.0.1 # 绑定本地地址用于访问SSH服务
bind_port = 6000 # 绑定本地端口用于访问SSH服务
# 启动服务端
$ ./frps -c ./frps.ini
# 启动客户端
$ ./frpc -c ./frpc.ini
# 启动客户端
$ ./frpc -c ./frpc.ini
# 通过SSH访问内网机器
$ ssh -oPort=6000 test@127.0.0.1
5. Frp 的高级配置
了解 frp 的一些通用功能
| 编号 | 对应高级特性 |
|---|---|
| 1 | 配置文件 |
| 2 | 监控 |
| 3 | 身份认证 |
| 4 | Web 界面 |
| 5 | 负载均衡与健康检查 |
| 6 | 获取用户真实 IP |
| 7 | 范围端口映射 |
| 8 | 客户端 |
| 9 | 服务端管理 |
| 10 | 客户端插件 |
| 11 | 服务端插件 |
| 12 | 通信安全及优化 |
- [1] 身份认证
frp 配置文件,目前仅支持 ini 格式的配置文件,frps 和 frpc 各自支持不同的参数。frps 主要配置服务端的一些通用参数,frpc 则需要额外配置每一个代理的详细配置。目前 frpc 和 frps 之间支持两种身份验证方式,token 和 oidc,默认为 token。通过 frpc.ini 和 frps.ini 的 [common] 段落中配置 authentication_method 来指定要使用的身份验证方式。只有通过身份验证的客户端(frpc)才能成功连接 frps 服务。
# 在frps配置 - Token
bind_port = 7000
authentication_method = token
token = 12345678
# 在frpc配置 - Token
[common]
server_addr = x.x.x.x
server_port = 7000
authentication_method = token
token = 12345678
[ssh]
type = tcp
local_ip = 127.0.0.1
local_port = 22
remote_port = 6000
- [2] Web 界面
目前 frpc 和 frps 分别内置了相应的 Web 界面方便用户使用。服务端 Dashboard 使用户可以通过浏览器查看 frp 的状态以及代理统计信息。客户端管理界面,frpc 内置的 Admin UI 可以帮助用户通过浏览器来查询和管理客户端的 proxy 状态和配置。
# 在frps配置
# http://[server_addr]:7500
[common]
dashboard_port = 7500
dashboard_user = admin
dashboard_pwd = admin
# 在frpc配置
# http://127.0.0.1:7400
[common]
admin_addr = 127.0.0.1
admin_port = 7400
admin_user = admin
admin_pwd = admin
- [3] 范围端口映射
在 frpc 的配置文件中可以指定映射多个端口,目前只支持 TCP 和 UDP 的代理类型。这一功能通过 range: 段落标记来实现,客户端会解析这个标记中的配置,将其拆分成多个 proxy,每一个 proxy 以数字为后缀命名。实际连接成功后会创建 7 个 proxy,命名为 test_tcp_0, test_tcp_1 到 test_tcp_6。
# 在frpc配置
# 映射本地6000-6005/6007这7个端口
[range:test_tcp]
type = tcp
local_ip = 127.0.0.1
local_port = 6000-6005,6007
remote_port = 6000-6005,6007
- [4] 服务端管理
# 在frps配置 - 端口白名单
[common]
allow_ports = 2000-3000,3001,3003,4000-50000
# 在frps配置 - 端口复用
bind_port = 443
vhost_https_port = 443
# 在frps配置 - 代理限速
[ssh]
type = tcp
local_port = 22
remote_port = 6000
bandwidth_limit = 1MB
6. 参考地址
送人玫瑰,手有余香!