内网穿墙利器frp,实现无公网IP穿透(支持windows+linux)

frp 的作用:

  • 利用处于内网或防火墙后的机器,对外网环境提供 http 或 https 服务。
  • 对于 http, https 服务支持基于域名的虚拟主机,支持自定义域名绑定,使多个域名可以共用一个80端口。
  • 利用处于内网或防火墙后的机器,对外网环境提供 tcp 和 udp 服务,例如在家里通过 ssh 访问处于公司内网环境内的主机。

使用示例:

根据对应的操作系统及架构,从 Release 页面下载最新版本的程序。

将 frps 及 frps.ini 放到具有公网 IP 的机器上。 将 frpc 及 frpc.ini 放到处于内网环境的机器上。

修改 frps.ini 文件,这里使用了最简化的配置:

启动 frps:

./frps -c ./frps.ini

修改 frpc.ini 文件,假设 frps 所在服务器的公网 IP 为 x.x.x.x;

启动 frpc:

./frpc -c ./frpc.ini

通过 ssh 访问内网机器,假设用户名为 test:

ssh -oPort=6000 test@x.x.x.x

有时想要让其他人通过域名访问或者测试我们在本地搭建的 web 服务,但是由于本地机器没有公网 IP,无法将域名解析到本地的机器,通过 frp 就可以实现这一功能,以下示例为 http 服务,https 服务配置方法相同, vhost_http_port 替换为 vhost_https_port, type 设置为 https 即可。

修改 frps.ini 文件,设置 http 访问端口为 8080:

启动 frps;

./frps -c ./frps.ini

修改 frpc.ini 文件,假设 frps 所在的服务器的 IP 为 x.x.x.x,local_port 为本地机器上 web 服务对应的端口, 绑定自定义域名 www.yourdomain.com:

启动 frpc:

./frpc -c ./frpc.ini

将 www.yourdomain.com 的域名 A 记录解析到 IP x.x.x.x,如果服务器已经有对应的域名,也可以将 CNAME 记录解析到服务器原先的域名。

DNS 查询请求通常使用 UDP 协议,frp 支持对内网 UDP 服务的穿透,配置方式和 TCP 基本一致。

修改 frps.ini 文件:

启动 frps:

./frps -c ./frps.ini

修改 frpc.ini 文件,设置 frps 所在服务器的 IP 为 x.x.x.x,转发到 Google 的 DNS 查询服务器 8.8.8.8 的 udp 53 端口:

启动 frpc:

./frpc -c ./frpc.ini

通过 dig 测试 UDP 包转发是否成功,预期会返回 www.google.com 域名的解析结果:

dig @x.x.x.x -p 6000 www.google.com

通过 tcp 端口访问内网的 unix域套接字(和 docker daemon 通信)。

frps 的部署步骤同上。

启动 frpc,启用 unix_domain_socket 插件,配置如下:

通过 curl 命令查看 docker 版本信息

curl http://x.x.x.x:6000/version

对于某些服务来说如果直接暴露于公网上将会存在安全隐患。

使用 stcp(secret tcp) 类型的代理可以避免让任何人都能访问到要穿透的服务,但是访问者也需要运行另外一个 frpc。

以下示例将会创建一个只有自己能访问到的 ssh 服务代理。

frps 的部署步骤同上。

启动 frpc,转发内网的 ssh 服务,配置如下,不需要指定远程端口:

在要访问这个服务的机器上启动另外一个 frpc,配置如下:

通过 ssh 访问内网机器,假设用户名为 test:

ssh -oPort=6000 test@127.0.0.1

frp 提供了一种新的代理类型 xtcp 用于应对在希望传输大量数据且流量不经过服务器的场景。

使用方式同 stcp 类似,需要在两边都部署上 frpc 用于建立直接的连接。

目前处于开发的初级阶段,并不能穿透所有类型的 NAT 设备,所以穿透成功率较低。穿透失败时可以尝试 stcp 的方式。

frps 除正常配置外需要额外配置一个 udp 端口用于支持该类型的客户端:

bind_udp_port = 7001

启动 frpc,转发内网的 ssh 服务,配置如下,不需要指定远程端口:

在要访问这个服务的机器上启动另外一个 frpc,配置如下:

通过 ssh 访问内网机器,假设用户名为 test:

ssh -oPort=6000 test@127.0.0.1

通过 frpc 所在机器访问外网

frpc 内置了 http proxy 和 socks5 插件,可以使其他机器通过 frpc 的网络访问互联网。

frps 的部署步骤同上。

启动 frpc,启用 http_proxy 或 socks5 插件(plugin 换为 socks5 即可), 配置如下:

浏览器设置 http 或 socks5 代理地址为 x.x.x.x:6000,通过 frpc 机器的网络访问互联网。

功能说明完整配置文件

frps.ini如下:

frpc.ini如下:

最后远程访问域名:3389即可远程访问

Centos服务端一键脚本:

服务管理: ` systemctl enable frps systemctl restart frps systemctl status frps `

Centos客户端一键脚本

服务管理: ` systemctl enable frpc systemctl restart frpc systemctl status frpc `

原文链接:https://cloud.tencent.com/developer/article/2179396

© 版权声明
THE END
喜欢就支持一下吧
点赞11 分享