文章/答案/技术大牛

发布

社区首页 >专栏 >[frp] 内网穿透神器搭建萌新也看得懂的教程

[frp] 内网穿透神器搭建萌新也看得懂的教程

子润先生

修改于 2021-06-10 03:26:57

2K00

代码可运行

文章被收录于专栏：用户8644135的专栏用户8644135的专栏

运行总次数：0

代码可运行

目前个人认为配置和使用上是最方便的内网穿透工具，已经用了快两年了，拿来穿透进没有公网的位于学校宿舍的路由器，蹭蹭百度文库企业账号和知网之类的23333

Head Pic: 「ALTER」/「NIAN」[pixiv]

frp

fatedier/frp

frp 是一个可用于内网穿透的高性能的反向代理应用，支持 tcp, udp, http, https 协议

前言

为什么不直接放一个一键脚本？手动搭建不会很麻烦吗？

这个程序配置起来一点都不麻烦
一键脚本固然方便，但是对于萌新，我更建议你们尝试手动配置，这样对熟悉与理解 Linux 会有更大帮助
手动配置具有更大的自由度，并且你将会很清楚这些程序是干什么的

本文将以萌新也能看懂的方式讲解

frp服务端搭建
frp服务端配置
frp客户端配置

不会讲解frp客户端的搭建，因为目前frp的主要用途是用于内网穿透，因此客户端通常情况下是家用路由器之类的没有公网的设备

本文针对的受众是拥有“刷了带frp的固件的路由器（比如这个）”而不清楚如何使用或者在使用上存在疑惑的萌新

如果你需要在一个不含 frp 的 openwrt 路由器上搭建客户端，或者是拥有树莓派之类的家用 linux 机想部署客户端，那么我认为你的知识水平应该足以根据frp服务端搭建的步骤来类比出客户端的搭建方法，以及通过百度谷歌来解决问题

从0.18.0版本开始，新版与旧版不兼容，并且部分配置字段不同，为了不混淆，这里讲的是新版的搭建与配置[/scode]

服务端 - frps

1. 下载程序

首先到 frp 的 releases 页面下载最新版的对应 VPS 的处理器架构的压缩包 https://github.com/fatedier/frp/releases

如何知道 VPS 的处理器架构？在 VPS 上运行这个命令：

 复制1arch

如果输出x86_64则需要下载带linux_amd64的那个压缩包；如果输出的是其他的，则在文件列表中找 linux 的对应架构的压缩包

以x86_64架构举例（目前大多数都应该是这个架构），本文撰写时 frp 最新版是v0.18.0

 复制1
2
3
4
5
6
7
8
9
10cd /root
# 下载
wget --no-check-certificate https://github.com/fatedier/frp/releases/download/v0.18.0/frp_0.18.0_linux_amd64.tar.gz
# 解压
tar -xzvf frp_0.18.0_linux_amd64.tar.gz
# 文件夹名改成 frp，不然目录太长了不方便
mv frp_0.18.0_linux_amd64 frp
cd frp
# 确保 frps 程序具有可执行权限
chmod +x frps

然后试着运行一下frps，看看是否能正常运行

 复制1./frps --help

正常情况下会输出一串帮助信息，那么就说明你下载了正确架构的版本

如果提示-bash: ./frps: cannot execute binary file: Exec format error就说明你下错版本了

2. 配置程序

参考以下配置说明来书写配置文件frps.ini，你可以先在电脑上打一份草稿此处只解释说明一些必要和常用的配置，如需研究完整配置说明请看目录下的frps_full.ini，以及参考frp中文说明

 复制1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30# 下面这句开头必须要有，表示配置的开始
[common]

# frp 服务端端口（必须）
bind_port = 7000

# frp 服务端密码（必须）
token = 12345678

# 认证超时时间，由于时间戳会被用于加密认证，防止报文劫持后被他人利用
# 因此服务端与客户端所在机器的时间差不能超过这个时间（秒）
# 默认为900秒，即15分钟，如果设置成0就不会对报文时间戳进行超时验证
authentication_timeout = 900

# 仪表盘端口，只有设置了才能使用仪表盘（即后台）
dashboard_port = 7500

# 仪表盘访问的用户名密码，如果不设置，则默认都是 admin
dashboard_user = admin
dashboard_pwd = admin

# 如果你想要用 frp 穿透访问内网中的网站（例如路由器设置页面）
# 则必须要设置以下两个监听端口，不设置则不会开启这项功能
vhost_http_port = 10080
vhost_https_port = 10443

# 此设置需要配合客户端设置，仅在穿透到内网中的 http 或 https 时有用（可选）
# 假设此项设置为 example.com，客户端配置 http 时将 subdomain 设置为 test，
# 则你将 test.example.com 解析到服务端后，可以使用此域名来访问客户端对应的 http
subdomain_host = example.com

然后把你的准备好的配置文件内容写入frps.ini

 复制1
2
3
4
5
6
7
8
9echo "[common]
bind_port = 7000
token = 12345678
dashboard_port = 7500
dashboard_user = admin
dashboard_pwd = admin
vhost_http_port = 10080
vhost_https_port = 10443
subdomain_host = example.com" > frps.ini

试着启动一下frps

 复制1
2# 使用 -c 参数指定配置文件
./frps -c frps.ini

如果没有出现错误提示就说明配置没有问题，可以正常使用

接着按下Ctrl + C终止程序运行

3. 使 frps 在后台持续运行

启动

直接使用前面的命令行来运行是不行的，因为在关掉 ssh 窗口后程序frps就会停止运行，因此要使用nohup [command] &这种操作来使其在后台运行

 复制1nohup /root/frp/frps -c /root/frp/frps.ini &

并且程序的所有输出（日志）会被写入nohup.out文件中，你可以使用cat命令查看其内容

停止

想停止的话，结束frps即可

 复制1pkill frps

重启

那就先停止再启动嘛23333

加入开机自启

编辑/etc/rc.local文件，将启动那句命令加到exit 0语句之前（如果有）

客户端 - frpc

如需研究完整配置说明请看目录下的frpc_full.ini，以及参考frp中文说明

书写配置

基本配置（必须）

 复制1
2
3
4
5
6
7
8# 下面这句开头必须要有，表示配置的开始
[common]
# frp 服务端地址，可以填ip或者域名
server_addr = 0.0.0.0
# frp 服务端端口，即填写服务端配置中的 bind_port
server_port = 7000
# 填写 frp 服务端密码
token = 12345678

TCP/UDP

这里以转发 ssh 为例

 复制1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22# 自定义一个配置名称，格式为“[名称]”，放在开头
[ssh]
# 连接类型，填 tcp 或 udp
type = tcp

# 本地ip，填你需要转发到的目的ip
# 如果是转发到frp客户端所在本机（比如路由器）则填 127.0.0.1
# 否则填对应机器的内网ip
local_ip = 127.0.0.1
# 需要转发到的端口，比如 ssh 端口是 22
local_port = 22

# 是否加密客户端与服务端之间的通信，默认是 false
use_encryption = false
# 是否压缩客户端与服务端之间的通信，默认是 false
# 压缩可以节省流量，但需要消耗 CPU 资源
# 加密自然也会消耗 CPU 资源，但是不大
use_compression = false

# frp 服务端的远程监听端口，即你访问服务端的 remote_port 就相当于访问
# 客户端的 local_port，如果填0则会随机分配一个端口
remote_port = 6001

HTTP(S)

以转发路由器设置页面为例

 复制1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37# 自定义一个配置名称，格式为“[名称]”，放在开头
[router-web]
# 连接类型，填 http 或 https
type = http

local_ip = 127.0.0.1
local_port = 80

# http 可以考虑加密和压缩一下
use_encryption = true
use_compression = true

# 自定义访问网站的用户名和密码，如果不定义的话谁都可以访问，会不安全
# 有些路由器如果从内部访问web是不需要用户名密码的，因此需要在这里加一层密码保护
# 如果你发现不加这个密码保护，路由器配置页面原本的用户认证能正常生效的话，可以不加
http_user = admin
http_pwd = admin

# 还记得我们在服务端配置的 subdomain_host = example.com 吗
# 假设这里我们填 web01，那么你将 web01.example.com 解析到服务端ip后
# 你就可以使用 域名:端口 来访问你的 http 了
# 这个域名的作用是用来区分不同的 http，因为你可以配置多个这样的配置
subdomain = web01

# 自定义域名，这个不同于 subdomain，你可以设置与 subdomain_host 无关的其他域名
# subdomain 与 custom_domains 中至少有一个必须要设置
custom_domains = web02.yourdomain.com

# 匹配路径，可以设置多个，用逗号分隔，比如你设置 locations 为以下这个，
# 那么所有 http://xxx/abc 和 http://xxx/def 都会被转发到 http://xxx/
# 如果不需要这个功能可以不写这项，就直接该怎么访问就怎么访问
locations = /abc,/def

# 重写 host header，相当于反向代理中的“发送域名”
# 如果设置了，转发 http 时，请求中的 host 会被替换成这个
# 一般情况下不需要用到这个，可以不写这项
host_header_rewrite = dev.yourdomain.com

TCP/UDP 范围转发

 复制1
2
3
4
5
6
7
8
9
10
11# 自定义一个配置名称，格式为“[range:名称]”，放在开头
[range:multi-port]

type = tcp
local_ip = 127.0.0.1
use_encryption = false
use_compression = false

# 本地端口和远程端口可以指定多个范围，如下格式，且范围之间必须一一对应
local_port = 6010-6020,6022,6024-6028
remote_port = 16010-16020,16022,16024-16028

合并配置

将你决定要使用的配置合起来，然后填到路由器的 frp 配置脚本中

如果你是在 linux 上运行，则写入到frpc.ini中，然后仿照运行服务端的方式来运行客户端

比如将以上示例配置合并之后，看起来应该是这个样子

 复制1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33[common]
server_addr = 0.0.0.0
server_port = 7000
token = 12345678

[ssh]
type = tcp
local_ip = 127.0.0.1
local_port = 22
use_encryption = false
use_compression = false
remote_port = 6001

[router-web]
type = http
local_ip = 127.0.0.1
local_port = 80
use_encryption = true
use_compression = true
http_user = admin
http_pwd = admin
subdomain = web01
custom_domains = web02.yourdomain.com
locations = /abc,/def
host_header_rewrite = dev.yourdomain.com

[range:multi-port]
type = tcp
local_ip = 127.0.0.1
use_encryption = false
use_compression = false
local_port = 6010-6020,6022,6024-6028
remote_port = 16010-16020,16022,16024-16028