FRP内网穿透全流程指南:域名绑定+Nginx反向代理+HTTPS配置+SSH访问

2026年3月17日 互联网

一、技术方案选型与适用场景

在公有云服务与自建内网穿透方案的选择中,开发者常面临功能与成本的权衡。主流云服务商提供的NAT网关服务虽具备高可用性,但存在以下限制:

  1. 端口映射数量受限(通常单实例支持64个端口)
  2. 无法自定义域名解析规则
  3. 长期使用成本较高(按流量计费模式)

开源FRP方案通过反向代理技术突破这些限制,其核心优势在于:

  • 支持全端口映射(TCP/UDP协议)
  • 自定义域名解析与路径重写
  • 细粒度访问控制(基于token认证)
  • 跨平台支持(Windows/Linux/macOS)

典型应用场景包括:

  • 本地开发环境的外网测试
  • 自建Git/CI服务的外网访问
  • 物联网设备的远程管理
  • 家庭NAS的外网访问

二、环境准备与资源清单

实施前需完成以下资源准备:

  1. 公网服务器:需具备独立公网IP,建议配置2核4G以上(承载反向代理流量)
  2. 域名系统
    • 主域名(如example.com)
    • 子域名(如git.example.com、ssh.example.com)
    • 域名解析权限(需配置A记录指向公网IP)
  3. 本地服务
    • Web服务(如Nginx默认80端口)
    • 应用服务(如GitLab默认8000端口)
    • SSH服务(默认22端口)
  4. 软件组件
    • FRP最新版本(从开源托管仓库获取)
    • Nginx(用于SSL终止与负载均衡)
    • OpenSSL(证书生成工具)

三、核心配置流程详解

1. 服务端基础配置

在公网服务器上执行以下操作:

  1. # 解压FRP压缩包
  2. tar -zxvf frp_x.x.x_linux_amd64.tar.gz
  3. cd frp_x.x.x_linux_amd64
  5. # 编辑服务端配置文件
  6. vim frps.ini

关键配置参数说明:

  1. [common]
  2. bind_port = 7000               # FRP服务监听端口
  3. token = secure_token_123       # 客户端认证令牌
  4. vhost_http_port = 81           # HTTP代理端口
  5. vhost_https_port = 443         # HTTPS代理端口
  6. dashboard_port = 7500          # 管理面板端口
  7. dashboard_user = admin          # 管理面板用户名
  8. dashboard_pwd = admin_pass      # 管理面板密码
  10. # 日志配置
  11. log_file = /var/log/frps.log
  12. log_level = info
  13. log_max_days = 7

启动服务命令:

  1. nohup ./frps -c frps.ini > /dev/null 2>&1 &

2. Nginx反向代理配置

配置SSL终止与多域名路由:

  1. server {
  2.     listen 443 ssl;
  3.     server_name git.example.com;
  5.     ssl_certificate /path/to/fullchain.pem;
  6.     ssl_certificate_key /path/to/privkey.pem;
  8.     location / {
  9.         proxy_pass http://127.0.0.1:81;  # FRP HTTP代理端口
  10.         proxy_set_header Host $host;
  11.         proxy_set_header X-Real-IP $remote_addr;
  12.     }
  13. }
  15. server {
  16.     listen 443 ssl;
  17.     server_name ssh.example.com;
  19.     ssl_certificate /path/to/fullchain.pem;
  20.     ssl_certificate_key /path/to/privkey.pem;
  22.     location / {
  23.         proxy_pass https://127.0.0.1:6000;  # SSH代理端口
  24.         proxy_set_header Host $host;
  25.         proxy_buffering off;
  26.     }
  27. }

3. 客户端穿透配置

在本地机器编辑frpc.ini

  1. [common]
  2. server_addr = 公网服务器IP
  3. server_port = 7000
  4. token = secure_token_123
  6. [web_nginx]
  7. type = http
  8. local_port = 80
  9. custom_domains = git.example.com
  11. [gitlab]
  12. type = http
  13. local_port = 8000
  14. custom_domains = code.example.com
  16. [ssh_tunnel]
  17. type = tcp
  18. local_ip = 127.0.0.1
  19. local_port = 22
  20. remote_port = 6000

启动客户端命令(Windows需使用cmd):

  1. ./frpc -c frpc.ini

四、高级功能实现

1. HTTPS证书自动化管理

推荐使用Let’s Encrypt免费证书:

  1. # 安装Certbot工具
  2. sudo apt install certbot python3-certbot-nginx
  4. # 自动获取证书
  5. sudo certbot --nginx -d git.example.com -d code.example.com
  7. # 设置自动续期
  8. echo "0 3 * * * /usr/bin/certbot renew --quiet" | sudo tee -a /etc/crontab

2. 多级域名路由配置

通过Nginx的server_name指令实现:

  1. server {
  2.     listen 81;  # FRP的vhost_http_port
  3.     server_name ~^(?<subdomain>.+)\.example\.com$;
  5.     location / {
  6.         proxy_pass http://127.0.0.1:${subdomain_port};
  7.         # 需通过外部脚本动态解析subdomain到具体端口
  8.     }
  9. }

3. 访问控制增强

在FRP服务端配置中添加:

  1. [common]
  2. # 客户端IP白名单
  3. allow_ips = 192.168.1.0/24,10.0.0.0/8
  5. # 访问频率限制
  6. rate_limit = 1MB

五、故障排查指南

  1. 连接失败排查

    • 检查防火墙规则(开放7000/81/443端口)
    • 验证token一致性
    • 查看FRP日志定位错误

  2. HTTPS访问异常

    • 确认证书有效期
    • 检查Nginx配置中的SSL参数
    • 使用openssl s_client -connect example.com:443测试

  3. SSH连接延迟

    • 调整TCP keepalive参数
    • 启用BBR拥塞控制算法
    • 检查本地网络质量

六、性能优化建议

  1. 连接复用

    1. [common]
    2. tcp_mux = true  # 默认开启,复用TCP连接

  2. 压缩传输

    1. [web_nginx]
    2. type = http
    3. compress = true  # 启用Gzip压缩

  3. 负载均衡

    1. [common]
    2. pool_count = 5  # 连接池大小

通过以上完整配置流程,开发者可构建出具备企业级安全性的内网穿透服务。该方案在某技术团队的实际应用中,成功支撑了日均10万次的Git操作请求,平均响应时间控制在80ms以内,充分验证了其可靠性与性能表现。

最新文章