公司內(nèi)網(wǎng)服務(wù)器有演示環(huán)境，同時技術(shù)人員出差需要在客戶現(xiàn)場進(jìn)行演示，于是學(xué)習(xí)使用FRP做內(nèi)網(wǎng)穿透。frp是用Go語言開發(fā)的，可用于內(nèi)網(wǎng)穿透的高性能反向代理應(yīng)用，支持tcp、udp、http和https，可將一個部署在本機(jī)的web服務(wù)映射到外網(wǎng)。

本文主要講如何基于frp + nginx 配置http 內(nèi)網(wǎng)穿透服務(wù)，承載多人同時使用。通過frp的運(yùn)行原理入手，介紹frp服務(wù)端和客戶端配置說明及后續(xù)延展功能。

整體概述

frp是一個內(nèi)網(wǎng)穿透工具，它可以讓本地局域網(wǎng)的機(jī)器暴露到公網(wǎng)，簡單的說就是在世界的任何地方，你都可以訪問家里開著的電腦。frp支持tcp、udp、http、https，就是說不僅僅限于本地web服務(wù)器可以暴露，整臺機(jī)器都可以暴露，windows的遠(yuǎn)程控制，mac和linux的SSH都可以被暴露。

1.名稱解釋

1.frp：frp是一個高性能的反向代理應(yīng)用，可以幫助您輕松地進(jìn)行內(nèi)網(wǎng)穿透，對外網(wǎng)提供服務(wù)，支持tcp、udp、http、https等協(xié)議類型，并且web服務(wù)支持根據(jù)域名進(jìn)行路由轉(zhuǎn)發(fā)。frp內(nèi)網(wǎng)穿透主要用于沒有公網(wǎng)IP的用戶，實(shí)現(xiàn)遠(yuǎn)程桌面、遠(yuǎn)程控制路由器、 搭建的WEB、FTP、SMB服務(wù)器被外網(wǎng)訪問、遠(yuǎn)程查看攝像頭、調(diào)試一些遠(yuǎn)程的API（比如微信公眾號，企業(yè)號的開發(fā)）等。

2.Nginx：Nginx是十分輕量級的HTTP服務(wù)器，是一個高性能的HTTP和反向代理服務(wù)器，同時也是一個IMAP/POP3/SMTP代理服務(wù)器。目前有很多國內(nèi)網(wǎng)站采用Nginx作為Web服務(wù)器，如國內(nèi)知名的公司新浪、163、騰訊、Discuz、豆瓣等。

2.原理說明

框圖說明：

1.配置無誤的情況下，frp服務(wù)端和frp客戶端先后啟動，建立通信隧道，其中：

1)frp服務(wù)端監(jiān)聽http 81端口（此端口可自定義），接收此端口下所有外網(wǎng)用戶請求，同時使用nginx代理81端口；

2)frp客戶端代理本地想要暴露給外網(wǎng)的web服務(wù)端口，例如9090 端口，同時使用nginx代理9090端口；

2.通過配置在frp服務(wù)端nginx反向代理，將指向本臺公網(wǎng)服務(wù)器的xxx.yyy.com域名映射到服務(wù)器的81端口，也就是frp監(jiān)聽的那個端口。外網(wǎng)用戶訪問xxx.yyy.com域名，等同于訪問192.168.1.247:81，會觸發(fā) frp服務(wù)端和客戶端的互動，從而http請求由frp服務(wù)端傳遞到frp客戶端；

3.frp客戶端收到http請求后，基于nginx配置，監(jiān)聽到http請求，則將請求轉(zhuǎn)發(fā)到我本地的9090web服務(wù)端口；

4.本地的web服務(wù)收到http請求后，對請求做處理，并完成響應(yīng)；

5.frp客戶端將響應(yīng)結(jié)果回傳給frp的服務(wù)端。服務(wù)端最終將響應(yīng)回傳給外網(wǎng)用戶；

6.最終的實(shí)測效果為：

訪問xxx.yyy.com等同于訪問我本地的localhost:9090。

3.適用場景

1.在辦公室訪問家里的電腦，反之亦然；

2.自己電腦上的項(xiàng)目，方便發(fā)給客戶朋友演示。比如我做了個小網(wǎng)站，發(fā)給朋友看看未上線版本，發(fā)個url給他就好了；

3.調(diào)試一些需要遠(yuǎn)程調(diào)用的程序，遠(yuǎn)程調(diào)用比如微信的API 回調(diào)接口。因?yàn)槲矣型饩W(wǎng)地址就不需要部署在公網(wǎng)服務(wù)器，直接進(jìn)行本地調(diào)試。

安裝準(zhǔn)備

可以根據(jù)需求下載對應(yīng)的文件版本，推薦使用Windows_amd64和Linux_amd64版本，具體還需要根據(jù)機(jī)子情況。

下載鏈接：https://github.com/fatedier/frp/releases

1.資源介紹

frp主要由客戶端（frpc）和服務(wù)端（frps）組成，服務(wù)端通常部署在具有公網(wǎng) IP 的機(jī)器上，客戶端通常部署在需要穿透的內(nèi)網(wǎng)服務(wù)所在機(jī)器上。

在客戶端使用的都是frpc*名的文件，在服務(wù)端使用的都是frps*名的文件。

2.部署規(guī)劃

nginx部署路徑：

/usr/local/nginx-1.14

frp部署路徑：

/opt/tools/frp_0.37.1_linux_amd64

1.公網(wǎng)服務(wù)器：

2.內(nèi)網(wǎng)服務(wù)器：

3.開機(jī)自啟

使用systemctl來控制啟動，這個方法比較好用，很方便。注意服務(wù)端是frps.service，客戶端是frpc.service。

1.服務(wù)端：

vi /lib/systemd/system/frps.service

在frps.service里寫入以下內(nèi)容：

啟動frps：

systemctl start frps

重啟frps：

systemctl restart frps

停止frps：

systemctl stop frps

查看狀態(tài)：

systemctl status frps

2.客戶端：

vi /lib/systemd/system/frpc.service

對frpc操作命令同服務(wù)端相同。

配置步驟

開始配置內(nèi)網(wǎng)穿透，分為四個部分，服務(wù)端的nginx和frp，客戶端的nginx和frp，下面按照從用戶訪問到web服務(wù)的流程順序把配置貼出來，方便粘貼調(diào)整。

1.服務(wù)端nginx

服務(wù)端nginx配置如下：

2.服務(wù)端配置

服務(wù)端frp配置如下：

3.客戶端nginx

客戶端nginx配置如下：

4.客戶端配置

客戶端frp配置如下：

5.訪問效果

瀏覽器輸入：http://xxx.yyy.com

擴(kuò)充延展

由于時間原因下面一些重要的功能配置還沒有驗(yàn)證，這里給出一些思路，方便后續(xù)抽出時間驗(yàn)證測試。

1.安全策略

1.服務(wù)本身的密碼安全性，例如如果遠(yuǎn)程桌面，那么選一個長密碼是不可忽略的，還可以設(shè)定不使用密碼只使用私鑰登錄。遠(yuǎn)程桌面那種可以用長密碼登錄。為了安全，也可以專門建立一個權(quán)限小的帳號用于遠(yuǎn)程登錄，把管理員帳號遠(yuǎn)程登錄權(quán)限禁止掉；

2.不要在內(nèi)網(wǎng)機(jī)器本機(jī)上運(yùn)行frp，例如內(nèi)網(wǎng)有A、B兩臺機(jī)器，互相可以訪問，如果重要機(jī)器是A，那么可以把FRP放在不重要的機(jī)器B上面，在FRP的local_ip那邊設(shè)置為A地址即可。這樣做的好處是可以在服務(wù)中認(rèn)定B機(jī)器地址來的訪問為外部訪問，專門設(shè)置安全措施。反過來，如果直接放在A上，那么所有frp過來的操作都會被本地服務(wù)認(rèn)定為A機(jī)器本身發(fā)起的，某些數(shù)據(jù)庫軟件直接就給127.0.0.1的本地IP管理員特權(quán)；

3.多做時間審查。ssh登錄是有記錄的。偶爾查看一下SSH的成功和失敗登錄記錄。至少可以看看近期有沒有人對你的服務(wù)器感興趣。

2.多客戶端

用一個frps連接多個frpc,原理上多個frpc和frps綁定同一個端口，但是多個frpc用不同的remote_port連接。

第一個frpc.ini配置：

第二個frpc.ini配置：

兩臺機(jī)器都綁定的7000端口，但是遠(yuǎn)程連接的端口不同

第一臺機(jī)器連接

ssh pi@49.223.83.111 -p 6000

第二臺機(jī)器連接

ssh pi@49.223.83.111 -p 6001

3.線程配置

默認(rèn)情況下，當(dāng)用戶請求建立連接后，frps 才會請求 frpc 主動與后端服務(wù)建立一個連接。當(dāng)為指定的代理啟用連接池后，frp 會預(yù)先和后端服務(wù)建立起指定數(shù)量的連接，每次接收到用戶請求后，會從連接池中取出一個連接和用戶連接關(guān)聯(lián)起來，避免了等待與后端服務(wù)建立連接以及 frpc 和 frps 之間傳遞控制信息的時間。這一功能比較適合有大量短連接請求時開啟。

首先可以在frps.ini中設(shè)置每個代理可以創(chuàng)建的連接池上限，避免大量資源占用，客戶端設(shè)置超過此配置后會被調(diào)整到當(dāng)前值：

在frpc.ini中為客戶端啟用連接池，指定預(yù)創(chuàng)建連接的數(shù)量：

配置心得

網(wǎng)絡(luò)的本地本來是應(yīng)該互聯(lián)互通的，但各種各樣的原因會導(dǎo)致互聯(lián)互不通。于是就需要造輪子解決它，frp就是這樣一個輪子，開源、免費(fèi)、簡單易用。下面說說自己的收獲。

1.知識收獲

在學(xué)習(xí)了frp的知識后，明白想要訪問局域網(wǎng)中的web服務(wù)不是只能通過vpn等工具才行，使用frp做內(nèi)網(wǎng)穿透同樣可以。frp支持tcp、udp、http、https等協(xié)議類型，這些足夠我們?nèi)粘９ぷ魇褂谩Ｊ褂胒rp工具有以下優(yōu)勢：

1.利用處于內(nèi)網(wǎng)或防火墻后的機(jī)器，對外網(wǎng)環(huán)境提供HTTP或HTTPS服務(wù)；

2.對于http, https服務(wù)支持基于域名的虛擬主機(jī)，支持自定義域名綁定，使多個域名可以共用一個80端口；

3.利用處于內(nèi)網(wǎng)或防火墻后的機(jī)器，對外網(wǎng)環(huán)境提供tcp和udp服務(wù)，例如在家里通過ssh訪問處于公司內(nèi)網(wǎng)環(huán)境內(nèi)的主機(jī)。

2.技能提升

通過對frp的學(xué)習(xí)和擴(kuò)展資料的了解，我學(xué)到了很多之前沒有接觸過的知識與技術(shù)。比如frp是什么，它是通過什么方式使frp內(nèi)外服務(wù)器的連接訪問，子域名的使用方法，此外還使用frp技術(shù)對nginx的配置加深了印象。使我在技術(shù)池中又開辟了一塊新空間。

3.心得總結(jié)

最開始領(lǐng)導(dǎo)交代要使用frp內(nèi)網(wǎng)穿透時，感覺沒什么難度，就是服務(wù)端和客戶端各安裝一個frp軟件，上網(wǎng)找找配置文檔。但實(shí)際對于沒有接觸過內(nèi)網(wǎng)穿透的人來說，還是有些困難的，有點(diǎn)會者不難的感覺。經(jīng)過多方面了解后，終于實(shí)現(xiàn)了內(nèi)網(wǎng)穿透，再回頭看看其實(shí)還是比較簡單的。

對于新軟件的學(xué)習(xí)，我一直停留在實(shí)現(xiàn)功能的層面上，沒有多往深處探索。通過領(lǐng)導(dǎo)的提示，使我認(rèn)識到自己的不足。后續(xù)工作空閑時，會抽時間研究frp的擴(kuò)展功能，比如安全、多客戶端接入、壓測等方面。一方面可以讓我對于frp深入了解，另一方面也促使我發(fā)散思維，全面思考。

本文由@數(shù)通暢聯(lián)原創(chuàng)，歡迎轉(zhuǎn)發(fā)，僅供學(xué)習(xí)交流使用，引用請注明出處！謝謝~