FRP内网穿透部署

FRP工具采用C/S模型，将FRP服务端部署在具有固定公网IP的机器上，FRP客户端部署在内网机器上，通过访问暴露在服务端上的端口，反向代理到位于内网的服务。在此基础上，FRP支持 TCP、UDP、HTTP、HTTPS 等多种协议，提供了加密、压缩、身份认证、代理限速和负载均衡等众多能力。

FRP开源项目地址：

https://githubcom/fatedier/frp

FRP使用场景：

让互联网（外部网络）的设备能访问局域网（内部网络）的设备所提供的服务，尤其是在内部网络出口没有固定公网IP的场景中。

测试目标： 将内网Windows 7的远程桌面端口(3389)暴露到服务端，实现在外部网络可以通过远程桌面连接到内网的Windows 7。

关闭CentOS 76防火墙：

关闭CentOS 76 SELinux：

安装配置FRP服务端：

运行FRP服务端：

腾讯云安全组放行端口：

FRP客户端支持Windows、Linux、MacOS、ARM、OpenWRT等平台，本例以Windows 7为例，将Windows 7的远程桌面端口(3389)暴露到服务端，实现从公网访问Windows 7的远程桌面。

注：与暴露TCP协议不同，使用FRP暴露HTTP/HTTPS协议时，可采用端口多路复用的方式。即一个外部端口可对应多个内部不同HTTP/HTTPS服务的端口，并通过在客户端配置文件中配置不同的域名来进行区分访问。

关闭Windows 7的休眠：

打开计划任务程序：

访问FRP服务端的Web界面进行验证：

访问FRP客户端的Web界面进行验证：

在外网使用远程桌面工具进行连接：

远程桌面可成功登录：

内网穿透即内网映射，可以将局域网变公网，从而可以让外网访问本地局域网内的服务。内网穿透原理技术有这么几种：

1，通过公网服务器转发，这是目前市场上大多三方的内网穿透服务方式。

2，P2P穿透，端对端连接通信，即常说的UDP打洞方式，受国内复杂网络环境影响打洞成功机率不高。

3，通过公网服务器响应对二端握手穿透，穿透成功时直接二端P2P打洞直联。

内网穿透工具有很多，比如Ngrok、花生壳、frp。原理基本一样。

这里主要了解一下FRP, frp分为客户端和服务端，frps为服务端，frpc为客户端。

https://githubcom/fatedier/frp

https://gofrporg/docs/

https://gofrporg/docs/examples/

配置时的端口防火墙必须开放和要配置开放对应的安全组

使用FileZilla来链接，可以传输文件了

现在通过 FRP 就可以很容易实现这一功能，这里以 HTTP 服务为例：首先修改 FRP 服务端配置文件，通过 vhost_http_port 参数来设置 HTTP 访问端口，这里将 HTTP 访问端口设为 8080。

再去修改客户端文件。这里通过 local_port 和 custom_domains 参数来设置本地机器上 Web 服务对应的端口和自定义的域名，这里我们分别设置端口为 80，对应域名为 mmlikecom

frp的客户端新增[mysql]

访问：mysql -uxx1 -hxx2 -P1006 -pxx3

Centos7的服务systemctl脚本存放在：/usr/lib/systemd/目录下，有系统（system）和用户（user）之分，一般需要开机不登录就能运行的程序，就存放在/usr/lib/systemd/system/目录下。

然后，我们再把这个脚本放置在 /usr/lib/systemd/system/目录下，之后我们再运行下面两条命令来更新 systemd 配置文件，并启动服务

Frp的TCP模式问题，这里主要存在2个问题。

试想一下，frp的tcp模式相当于你的设备直接向公网暴露了一个tcp端口。任何设备都可以尝试连接这个端口。这里就会有很大的安全风险。

我的所有请求都需要进行frp的服务器进行中转，这里势必会造成比较大的网络延时。以及耗掉服务器流量，这对我们的服务响应速度和经济价值会造成较大影响。

对于安全问题，frp的思路是，既然这些服务有可能被坏人攻击，那我们只要限制特定设备能够使用这个端口就好了。

那么问题来了，我怎么知道哪些设备是允许使用的呢？

服务端配置？那就又陷入了内网穿透的问题。

最简单的方法是使用密钥验证。这就是frp的Secret TCP（stcp）模式的思路。

如下图所示，frp客户端1需要暴露一个tcp端口。于是他在向服务端注册时，额外传了一个密钥。

所有其他设备期望访问这个端口，必须要先验证这个密钥。

这样一来，我们就需要在发起请求的设备上也配置一个frp客户端，通过这个客户端带着密钥发起请求。

# frpcini 配置：

[common]

# 你的frp服务器的公网ip

server_addr = xxxx

# 你的frp服务器的默认端口

server_port = 7000

[rdp]

type = stcp

# 只有 sk 一致的用户才能访问到此服务

sk = abcdefg

local_ip = 127001

# 远程桌面的本地端口号

local_port = 3389

# frpcini

[common]

# 你的frp服务器的公网ip

server_addr = xxxx

# 你的frp服务器的默认端口

server_port = 7000

[rdp_visitor]

type = stcp

# stcp 的访问者

role = visitor

# 要访问的 stcp 代理的名字

server_name = rdp

# 只有 sk 一致的用户才能访问到此服务

sk = abcdefg

# 绑定本地端口用于访问 远程桌面 服务

bind_addr = 127001

bind_port = 6000

此时，你在客户端2，使用127001:6000即可访问客户端1的远程服务。

思考一下，我们的frp服务器主要目的是为了解决两台设备相互识别的情况。在正式运行时，其实并不需要服务端做什么事情。

frp客户端就好比两个相亲的对象，frp服务端是媒婆。媒婆介绍完之后，就应该有相亲对象自己聊天了。

这个就是点对点模式（p2p）。在frp中，这个可以通过设置xtcp实现。

服务端：配置需要增加一个udp端口 7001,增加完之后就是如下

# frpsini

[common]

bind_port = 7000

bind_udp_port = 7001

# frpcini

[common]

# 你的frp服务器的公网ip

server_addr = xxxx

# 你的frp服务器的默认端口

server_port = 7000

[rdp]

type = xtcp

# 只有 sk 一致的用户才能访问到此服务

sk = abcdefg

local_ip = 127001

# 远程桌面的本地端口号

local_port = 3389

# frpcini

[common]

# 你的frp服务器的公网ip

server_addr = xxxx

# 你的frp服务器的默认端口

server_port = 7000

[rdp_visitor]

type = xtcp

# stcp 的访问者

role = visitor

# 要访问的 stcp 代理的名字

server_name = rdp

# 只有 sk 一致的用户才能访问到此服务

sk = abcdefg

# 绑定本地端口用于访问 远程桌面 服务

bind_addr = 127001

bind_port = 6000

此时，你在客户端2，使用同样的方式，以127001:6000即可访问客户端1的远程服务。

不过需要注意的是，目前frp的p2p服务还不完善，很多nat设备还是不能够穿透的。

此时大家还是需要切换回stcp来使用。