frp
一、frp简介
1.frp是什么
FRP 是一种用于实现内网穿透的工具。内网穿透是一种技术,允许你从互联网访问位于私有网络(内网)中的计算机、服务器或设备,即使它们位于防火墙或路由器后面。
FRP 使用客户端-服务器架构,其中客户端位于内网,服务器位于公共网络中(例如互联网)。
项目地址:https://github.com/fatedier/frp/releases
2.为什么使用 frp ?
使用FRP进行内网穿透有几个优势和原因,特别是在需要远程访问位于私有网络内的设备或服务时:
- 绕过网络限制和防火墙: 很多公司、组织和家庭网络都设置了防火墙和网络限制,以保护内部网络安全。使用FRP可以绕过这些限制,从外部网络访问内部设备,而无需在防火墙上进行复杂的端口映射设置。
- 安全性和加密: FRP支持数据的加密传输,从而确保通过公共网络传输的数据是安全的。这对于保护敏感信息和隐私非常重要。
- 简化网络配置: 使用FRP可以避免手动配置复杂的端口映射和路由设置,这在某些情况下可能会很繁琐和容易出错。FRP提供了更简化的方法来实现内网穿透。
- 动态 IP 地址处理: 如果你的内部网络中的设备使用动态分配的IP地址,使用FRP可以消除由于IP地址变化而导致的连接问题。FRP通过与服务器建立稳定的连接,无论IP地址是否变化,都能够维持通信。
- 跨平台支持: FRP在多个操作系统和平台上都有支持,这使得它适用于不同类型的设备和应用。
- 远程维护和访问: 使用FRP,你可以轻松地远程访问和维护内部网络中的设备,无论你身在何处。这对于IT支持、设备管理和远程故障排除非常有用。
- 访问内部服务: 如果你运行着一些需要从外部网络访问的服务(如网站、数据库等),使用FRP可以方便地使这些服务对外开放。
需要注意的是,使用内网穿透工具时要确保安全性和隐私,以避免未经授权的访问。另外,选择正确的工具并正确配置它是确保成功实现内网穿透的关键。
通过使用 FRP,你可以实现安全且受控的内网穿透,允许远程访问内部服务,而无需将内网设备暴露在公共网络中。
请注意,由于技术和软件可能会不断演进,建议在使用任何工具之前查阅最新的文档和教程以获取准确的设置和配置信息。
3.基本原理
- 在带有公网ip的云服务器上部署frp的服务端frps;
- 在需要穿透的内网服务器上部署frp的客户端frpc;
二、前置环境准备
服务端和客户端使用的都是同一份文件,只是配置文件和启动文件不同。因此只需要下载一份文件,将其上传到各个服务器即可。
1.下载解压
下载地址:
https://github.com/fatedier/frp/releases
解压:
tar -xvf frp_0.44.0_linux_amd64.tar.gz # 解压缩
mv frp_0.44.0_linux_amd64 frp # 重命名文件夹为frp
2.目录解读
- frpc:客户端可执行程序
- frpc_full.ini:客户端所有配置项(可以在此文件查看frp的所有的配置项)
- frpc.ini:客户端配置项
- frps:服务端可执行程序
- frps_full.ini:服务端所有配置项(可以在此文件查看frp的所有的配置项)
- frps.ini:服务端配置项
- LICENSE:许可证
三、服务端配置
服务端需部署在带有公网ip的服务器上,最好是云服务器。frp对于云服务器的配置要求不高,类似2C2G的入门级云服务器即可。而且目前各大厂商都在搞活动,入门级云服务器一年才50元左右。
1.配置服务端(阿里云)
为避免误操作,可以删除客户端相关的文件及配置
rm -fr frpc* # 删除所有客户端相关的文件及配置
cp frps.ini frps.ini.bak # 备份原始配置文件
编辑配置文件:frps.ini
[common]
bind_port = 7000
token = U4ZvrO/.M]Wp{D;@[u;vUMZ5es9&)}(
# vhost_http_port = 18888
# tcp_mux = false
# frp管理后台端口,请按自己需求更改
dashboard_port = 7500
# frp管理后台用户名和密码,请改成自己的
dashboard_user = admin
dashboard_pwd = password
enable_prometheus = true
# frp日志配置
log_file = /home/frp/log/frps.log
log_level = info
log_max_days = 3
./frps -c frps.ini # 启动服务端
2.开通安全组
若公网服务器是在阿里云、百度云等云服务器上的,则需要在安全组中为frp开通指定的端口号,如:7000是frp服务默认端口号、7500是在frps.ini配置文件中指定的dashboard_port、其他的则是需要映射到内网服务器的端口
.png)
3.访问dashboard
账号密码:admin、password(对应配置文件中的dashboard_user与dashboard_pwd)
.png)
4.将frps添加为本地服务(可选)
也可以将frps添加为本地服务,具体步骤如下:
① 服务端新建文件:frps.service
内容如下:
[Unit]
Description=frps service
After=network.target syslog.target
Wants=network.target
[Service]
Type=simple
ExecStart=/home/frp/frps -c /home/frp/frps.ini
[Install]
WantedBy=multi-user.target
② 创建配置文件目录并复制文件
mkdir -p /etc/frp
cp frps.ini /etc/frp/
cp frps /usr/bin/
cp frps.service /usr/lib/systemd/system/
③ 配置自并启动客户端服务
systemctl enable frps # 允许自启动
# 执行成功会提示“Created symlink /etc/systemd/system/multi-user.target.wants/frps.service → /usr/lib/systemd/system/frps.service.”
systemctl start frps # 启动客户端服务
若更改了frps.service,则需使用“systemctl daemon-reload”命令重新加载配置。
三、客户端配置
1.配置客户端
编辑客户端配置文件frpc.ini
[common]
server_addr = .xxx.xxx.xxx # 服务端所在的公网ip地址
server_port = 7000 # 服务端默认端口号,与服务端配置文件保持一致
token = e10adc3949ba59abbe56e057f20f883e
# 去掉速度限制
tcp_mux = false
# [sample]
# type = tcp # 注意:这个地方一律填写tcp
# local_ip = 0.0.0.0 # jira所在内网服务器的ip地址
# local_port = 8088 # 本地访问端口号
# remote_port = 8088 # 映射到云服务器的端口号
[vnc]
type = tcp
local_ip = 0.0.0.0
local_port = 5900
remote_port = 35900
use_encryption = true
use_compression = true
[ssh]
type = tcp
local_ip = 0.0.0.0
local_port = 22
remote_port = 322
[test]
type = tcp
local_ip = 0.0.0.0
local_port = 4000
remote_port = 4000
2.启动客户端
./frpc -c frpc.ini # 启动客户端
3.云服务器安全组添加端口号
安全组中添加remote_port端口号
.png)
4.访问HTTP服务
此时则可以通过公网IP+内网端口访问指定服务,如下图所示,访问的是内网服务器的服务。
.png)
5.查看dashboard连接记录
客户端启动成功,通过代理访问后,可以看到dashboard的Proxies-TCP中记录了连接信息:
.png)
6.将frpc服务加为本地服务(可选)
要实现macOS下程序的自启动,很多人都知道在“设置” - “用户和群组”中设置和取消开机启动,但这里要说的是另外一种方式,那就是launchd的方式,通过在launchd下编写plist启动文件实现FRP带参数启动。这里要啰嗦两句,在launchd下其实有两种实现程序自启的方式
1.如果需要 root,并且是需要用户登陆后才能运行,把 plist 放在 /Library/LaunchAgents/\ 2.如果需要 root,并且不需要用户登陆后都能运行,把 plist 放在 /Library/LaunchDaemons/
怎么理解呢,第一种就是系统启动后,你不登录到桌面,程序就不会在后台启动,类似于Windows下的开始菜单里的startup。第二种就是系统启动后,程序也随系统在后台启动,不管用户是否登录桌面,类似于Windows下的系统服务。你需要哪种方式让程序自启,自行选择第一种或者第二种。
出于安全的考虑或者说被迫害妄想症作怪
我不想完全把我的macOS暴露出去,我只选择了在/Library/LaunchAgents/创建plist
sudo vim ~/Library/LaunchAgents/frpc.plist
让我们用上面的命令创建FRP的启动文件frpc.plist,并用vim编辑它,你当然也可以用你自己喜欢的编辑器编辑
\<?xml version="1.0" encoding="UTF-8"?>\ \<!DOCTYPE plist PUBLIC -//Apple Computer//DTD PLIST 1.0//EN\ http://www.apple.com/DTDs/PropertyList-1.0.dtd >\ \
\ \ \\ \ \ \Label\ \ \frpc\ \ \ProgramArguments\ \ \\ \ \ \pwd/frpc\ \ \-c\ \ \pwd/frpc.ini\ \ \KeepAlive\ \ \\ \ RunAtLoad\ \ \\ \
将上面一段代码粘贴到frpc.plist里,粗体字部分请修改为你的frpc和frpc.ini的真实路径,千万别照抄作业哦,老师会发现的
最后,在终端输入下面的两段命令给frpc.plist赋予权限,并加载配置到系统使配置生效
sudo chown root ~/Library/LaunchAgents/frpc.plist\ sudo launchctl load -w ~/Library/LaunchAgents/frpc.plist\
好了,现在你可以重启系统,然后就会发现FRP客户端已经可以随系统自启
打开活动监视器,可以看到frpc的后台进程
如果某一天你后悔了,不想让它自启了,只要在终端里输入下面的命令,下次FRP客户端就不会跟随你的系统自启了
sudo launchctl unload -w ~/Library/LaunchAgents/frpc.plist
四、常见问题及解决
1.客户端配置http转发启动服务报错
若在客户端配置文件中配置了http转发,启动客户端服务时发生如下报错:
【原因】:服务端配置文件frps.ini中未配置vhost_http_port
【解决办法】:
① 服务端配置文件frps.ini的[common]中添加vhost_http_port
[common]
# frp监听的端口,默认是7000,可以改成其他的
bind_port = 7000
# 授权码,请改成更复杂的,这个token之后在客户端会用到
token = e10adc3949ba59abbe56e057f20f883e
# 开启HTTP
vhost_http_port = 8088
② 客户端配置文件frpc.ini中添加custom_domains
[web]
type = http
local_ip = 192.168.1.211 # 内网本机ip
local_port = 8088 # 本地服务端口号
remote_port = 8088 # 映射到的公网服务器端口号
custom_domains = 服务端所在的公网ip
③ 配置后重新启动客户端服务
./frpc -c frpc.ini
注意事项:
1、若要直接在客户端配置文件中配置http代理,则服务端配置文件frps.ini中必须配置vhost_http_port;
2、若在客户端配置文件中配置http代理:type = http,则必须在底部带上custom_domains=xxx.xxx.xx.xx;
2.配置代理多HTTP
上述问题1的配置方法,似乎只能代理访问一个端口的http,即使客户端配置文件frpc.ini中指定了多个type=http的 [web] 项,但因为服务端配置文件frps.ini中只能指定一个vhost_http_port=xxx,所以此方法最终还是只能代理访问一个http的服务,即vhost_http_port端口号对应的那个http。
【解决方法】:
参考:
服务端配置文件frps.ini中不需要配置vhost_http_port,直接在客户端配置文件frpc.ini中配置多个 [web] 项,即要代理的HTTP即可,其中type=tcp,也不用指定custom_domains。配置示例如下:
[common]
server_addr = 180.xx.xx.xx
server_port = 7000
token = e10adc3949ba59abbe56e057f20f883e
# 去掉速度限制
tcp_mux = false
[jira]
type = tcp
local_ip = 192.168.1.211
local_port = 8088
remote_port = 8088
[gitlab]
type = tcp
local_ip = 192.168.1.211
local_port = 8081
remote_port = 8081
小结
以上就是利用frp实现内网穿透的全过程,相比于之前介绍过的zerotier,frp无需在各个访问端上安装客户端,只需在公网服务器上安装服务端,在需要被代理转发的内网服务器上安装客户端,并配置好各个服务的端口号,其他所有用户即可在手机、PC、平板上随时随地访问内网服务。
另外,网络安全同样需要关注。由于内网穿透服务带有一定风险,因此无论是公网服务器还是内网服务器,最好都开启防火墙,用到哪个端口再放开哪个端口,服务器的密码最好也设置得复杂一些。