开源项目下载地址→https://github.com/fatedier/frp/releases
frp 是一个可用于内网穿透的高性能的反向代理应用,支持 tcp, udp, http, https 协议。

frp 的作用:

  • 利用处于内网或防火墙后的机器,对外网环境提供 http 或 https 服务。
  • 对于 http, https 服务支持基于域名的虚拟主机,支持自定义域名绑定,使多个域名可以共用一个80端口。
  • 利用处于内网或防火墙后的机器,对外网环境提供 tcp 和 udp 服务,例如在家里通过 ssh 访问处于公司内网环境内的主机。

使用示例:

根据对应的操作系统及架构,从 Release 页面下载最新版本的程序。

将 frps 及 frps.ini 放到具有公网 IP 的机器上。
将 frpc 及 frpc.ini 放到处于内网环境的机器上。

通过 ssh 访问公司内网机器

修改 frps.ini 文件,这里使用了最简化的配置:

# frps.ini
[common]
bind_port = 7000

启动 frps:

./frps -c ./frps.ini

修改 frpc.ini 文件,假设 frps 所在服务器的公网 IP 为 x.x.x.x;

# frpc.ini[common]

server_addr = x.x.x.x

server_port = 7000

[ssh]type = tcp

local_ip = 127.0.0.1

local_port = 22

remote_port = 6000

启动 frpc:

./frpc -c ./frpc.ini

通过 ssh 访问内网机器,假设用户名为 test:

ssh -oPort=6000 test@x.x.x.x

通过自定义域名访问部署于内网的 web 服务

有时想要让其他人通过域名访问或者测试我们在本地搭建的 web 服务,但是由于本地机器没有公网 IP,无法将域名解析到本地的机器,通过 frp 就可以实现这一功能,以下示例为 http 服务,https 服务配置方法相同, vhost_http_port 替换为 vhost_https_port, type 设置为 https 即可。

修改 frps.ini 文件,设置 http 访问端口为 8080:

# frps.ini

[common]

bind_port = 7000

vhost_http_port = 8080

启动 frps;

./frps -c ./frps.ini

修改 frpc.ini 文件,假设 frps 所在的服务器的 IP 为 x.x.x.x,local_port 为本地机器上 web 服务对应的端口, 绑定自定义域名 www.yourdomain.com:

# frpc.ini

[common]

server_addr = x.x.x.x

server_port = 7000

 [web]

type = http

local_port = 80

custom_domains = www.yourdomain.com

启动 frpc:

./frpc -c ./frpc.ini

将 www.yourdomain.com 的域名 A 记录解析到 IP x.x.x.x,如果服务器已经有对应的域名,也可以将 CNAME 记录解析到服务器原先的域名。

通过浏览器访问 http://www.yourdomain.com:8080 即可访问到处于内网机器上的 web 服务。

转发 DNS 查询请求

DNS 查询请求通常使用 UDP 协议,frp 支持对内网 UDP 服务的穿透,配置方式和 TCP 基本一致。

修改 frps.ini 文件:

# frps.ini

[common]

bind_port = 7000

启动 frps:

./frps -c ./frps.ini

修改 frpc.ini 文件,设置 frps 所在服务器的 IP 为 x.x.x.x,转发到 Google 的 DNS 查询服务器 8.8.8.8 的 udp 53 端口:

# frpc.ini

[common]

server_addr = x.x.x.x

server_port = 7000

[dns]

type = udp

local_ip = 8.8.8.8

local_port = 53

remote_port = 6000

启动 frpc:

./frpc -c ./frpc.ini

通过 dig 测试 UDP 包转发是否成功,预期会返回 www.google.com 域名的解析结果:

dig @x.x.x.x -p 6000 www.google.com

转发 Unix域套接字

通过 tcp 端口访问内网的 unix域套接字(和 docker daemon 通信)。

frps 的部署步骤同上。

启动 frpc,启用 unix_domain_socket 插件,配置如下:

# frpc.ini

[common]

server_addr = x.x.x.x

server_port = 7000

[unix_domain_socket]

type = tcp

remote_port = 6000

plugin = unix_domain_socket

plugin_unix_path = /var/run/docker.sock

通过 curl 命令查看 docker 版本信息

curl http://x.x.x.x:6000/version

安全地暴露内网服务

对于某些服务来说如果直接暴露于公网上将会存在安全隐患。

使用 stcp(secret tcp) 类型的代理可以避免让任何人都能访问到要穿透的服务,但是访问者也需要运行另外一个 frpc。

以下示例将会创建一个只有自己能访问到的 ssh 服务代理。

frps 的部署步骤同上。

启动 frpc,转发内网的 ssh 服务,配置如下,不需要指定远程端口:

# frpc.ini
[common]
server_addr = x.x.x.x 
server_port = 7000 
[secret_ssh]type = stcp 
# 只有 sk 一致的用户才能访问到此服务
sk = abcdefg 
local_ip = 127.0.0.1 
local_port = 22

在要访问这个服务的机器上启动另外一个 frpc,配置如下:

# frpc.ini

[common]

server_addr = x.x.x.x

server_port = 7000

[secret_ssh_visitor]

type = stcp

# stcp 的访问者

role = visitor

# 要访问的 stcp 代理的名字

server_name = secret_ssh

sk = abcdefg

# 绑定本地端口用于访问 ssh 服务

bind_addr = 127.0.0.1

bind_port = 6000

通过 ssh 访问内网机器,假设用户名为 test:

ssh -oPort=6000 test@127.0.0.1

点对点内网穿透

frp 提供了一种新的代理类型 xtcp 用于应对在希望传输大量数据且流量不经过服务器的场景。

使用方式同 stcp 类似,需要在两边都部署上 frpc 用于建立直接的连接。

目前处于开发的初级阶段,并不能穿透所有类型的 NAT 设备,所以穿透成功率较低。穿透失败时可以尝试 stcp 的方式。

frps 除正常配置外需要额外配置一个 udp 端口用于支持该类型的客户端:

bind_udp_port = 7001

启动 frpc,转发内网的 ssh 服务,配置如下,不需要指定远程端口:

# frpc.ini
[common]
server_addr = x.x.x.x 
server_port = 7000 
[p2p_ssh]
type = xtcp 
sk = abcdefg 
local_ip = 127.0.0.1 
local_port = 22

在要访问这个服务的机器上启动另外一个 frpc,配置如下:

# frpc.ini

[common]

server_addr = x.x.x.x

server_port = 7000

[p2p_ssh_visitor]

type = xtcp

# xtcp 的访问者

role = visitor

# 要访问的 xtcp 代理的名字

server_name = p2p_ssh

sk = abcdefg

# 绑定本地端口用于访问 ssh 服务

bind_addr = 127.0.0.1

bind_port = 6000

通过 ssh 访问内网机器,假设用户名为 test:

ssh -oPort=6000 test@127.0.0.1

通过 frpc 所在机器访问外网

frpc 内置了 http proxy 和 socks5 插件,可以使其他机器通过 frpc 的网络访问互联网。

frps 的部署步骤同上。

启动 frpc,启用 http_proxy 或 socks5 插件(plugin 换为 socks5 即可), 配置如下:

# frpc.ini

[common]

server_addr = x.x.x.x

server_port = 7000

[http_proxy]

type = tcp

remote_port = 6000

plugin = http_proxy

浏览器设置 http 或 socks5 代理地址为 x.x.x.x:6000,通过 frpc 机器的网络访问互联网。

功能说明完整配置文件

frps 完整配置文件

frpc 完整配置文件

附一个远程桌面配置文件:

frps.ini如下:

[common]

bind_port = 7080

vhost_http_port = 8080

frpc.ini如下:

[common]

server_addr = XX.XX.XX.XX

server_port = 7080



[web]

type = http

local_port = 8800

custom_domains = 域名



[RemoteDesktop]

type = tcp

local_port = 3389

remote_port = 3389

最后远程访问域名:3389即可远程访问



Centos服务端一键脚本:

yum install -y wget
version=0.20.0
wget https://github.com/fatedier/frp/releases/download/v${version}/frp_${version}_linux_amd64.tar.gz -O frp_linux_amd64.tar.gz
tar zxf frp_linux_amd64.tar.gz
cd frp_${version}_linux_amd64
mv frps /usr/local/bin/frps
mkdir /etc/frp/
cp frps.ini /etc/frp/


cat <<EOF > /etc/systemd/system/frps.service
[Unit]
Description=frps daemon
After=network.target

[Service]
Type=simple
ExecStart=/usr/local/bin/frps -c /etc/frp/frps.ini
ExecReload=/usr/local/bin/frps -c /etc/frp/frps.ini reload
Restart=always
RestartSec=5s

[Install]
WantedBy=multi-user.target
EOF

服务管理:
`
systemctl enable frps
systemctl restart frps
systemctl status frps
`

Centos客户端一键脚本

yum install -y wget
version=0.21.0
wget https://github.com/fatedier/frp/releases/download/v${version}/frp_${version}_linux_amd64.tar.gz -O frp_linux_amd64.tar.gz
tar zxf frp_linux_amd64.tar.gz
cd frp_${version}_linux_amd64
mv frpc /usr/local/bin/frpc
mkdir /etc/frp/
cp frpc.ini /etc/frp/


cat <<EOF > /etc/systemd/system/frpc.service
[Unit]
Description=frpc daemon
After=network.target

[Service]
Type=simple
ExecStart=/usr/local/bin/frpc -c /etc/frp/frpc.ini
ExecReload=/usr/local/bin/frpc -c /etc/frp/frpc.ini reload
Restart=always
RestartSec=5s

[Install]
WantedBy=multi-user.target
EOF

服务管理:
`
systemctl enable frpc
systemctl restart frpc
systemctl status frpc
`

文章目录