实测可用:nginx代理frp实现80、443端口二级泛域名内网穿透服务
frp是一款十分厉害和方便的内网穿透软件,开源、高性能,支持 TCP、UDP、HTTP、HTTPS 协议代理,支持ssh穿透,http、https穿透、tcp、unix域套接字穿透等等。
典型的使用场景是:
服务端frps在公网服务器配置,客户端frpc在内网主机上配置。暴露任意frpc客户端上的端口,到服务器端frps,通过直接访问frps对应端口,转而实际访问内网主机的相关端口服务。
1、frp的配置方式网上见到的有2种,ini和toml文件。
ini格式的配置,应该是从0.52版以后就被弃用了。新功能也只在toml格式的配置文件支持。所以,最后推荐toml格式的配置文件。
服务端启动命令:frps.exe -c xxx.ini
客户端启动命令:frpc.exe -c xxx.ini
2、之前我一直在简单使用带端口的http代理穿透的场景:
frps配置(ini配置):
[common]
server_addr = x.x.x.x
server_port = 7000
vhost_http_port = 8080
# 身份验证方式,设置为token,默认是token,可以不配置此项
authentication_method = token
# 自定义的token值,客户端需要配置相同的token才能连接
token = your_token_value frpc配置(ini配置)
[common]
admin_addr = x.x.x.x
admin_port = 7000 # 与frps的server_port保持一致
# 身份验证方式,设置为token,默认是token,可以不配置此项
authentication_method = token
# 自定义的token值,客户端需要配置相同的token才能连接(与frps的配置保持一致)
token = your_token_value
[web]
type = http
local_port = 1234 # 本地http服务的监听端口
custom_domains = test.yourdomain.com
http_user = abc # 用于:HTTP Basec Auth访问验证,临时暴露此端口服务的,可以去掉
http_pwd = abc # 用于:HTTP Basec Auth访问验证,临时暴露此端口服务的,可以去掉最近,测试环境改变,需求场景也改变了,变成:
对于内网客户端的80、443端口,使用典型的http、https内网二级泛域名的穿透
我查了查资料,测试了一下,配置好自己可用的。
基本配置中,也从ini变成了toml,frp版本也使用了0.61+版本,对外反向代理使用的是nginx。具体操作如下:
1、配置frps和frpc,如下:
服务端frps(toml):
bindPort = 7000 # 防火墙开启此端口,frpc客户端连接使用
auth.method = "token"
auth.token = "xxxxxxx"
webServer.addr = "127.0.0.1" # 限制frp自带的dash服务为本机访问
webServer.port = 7001 # frp自带的dash服务端口,防火墙不必开启此端口
webServer.user = "admin"
webServer.password = "xxxxx"
vhostHTTPPort = 7002 # frps的http监听端口,防火墙不必开启此端口,用于nginx反向代理使用
log.to = "console" # 日志:显示到 console,方便查看状态,可以配置到文件
log.level = "info"
log.maxDays = 3
log.disablePrintColor = false客户端frpc(toml)配置
serverAddr="x.x.x.x" # 服务端frps的ip地址
serverPort=7000
auth.method = "token"
auth.token = "xxxxxxx" # 与服务端frps配置的一致
[[proxies]]
name = "web2host" # 随便起个标识
type="http"
localIp="0.0.0.0" # 对外提供所有
localPort=8080 #本地http服务的监听端口
# *.go.yourdomain.com 下搞一个已解析或者hosts绑定的二级域名的子域名
customDomains=["s2.go.yourdomain.com"] nginx的配置:
server {
listen 80;
listen 443 ssl http2;
keepalive_timeout 70;
server_name *.go.yourdomain.com;
# 日志配置
access_log "./access_go.yourdomain.com.log";
# root
# 需要https的话,就配置一下证书
ssl_certificate ./fullchain.pem;
ssl_certificate_key ./privkey.pem;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 5m;
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
location / {
proxy_pass http://127.0.0.1:7002; # 与frps的vhostHTTPPort配置一致
index index.html index.htm;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
proxy_redirect http://$host/ http://$http_host/;
}
}当然一看就知道,proxy_redirect http://$host/ http://$http_host/;
这一句是一定要配置的,其他的都是常规配置。
之后就可以通过:
http://s2.go.yourdomain.com 和
https://s2.go.yourdomain.com 愉快的访问,在frpc客户端的8080端口服务了。
我选择二级泛域名,主要是考虑防止域名管理混乱,也可以直接搞一个主域名啥的,这就是nginx的常规设置了。
用于开发测试,产品展示还是又简单又实用。果然,frp确实好用啊。