当前位置：首页 > article >正文

Linux下frp内网穿透实战：从零搭建安全高效的远程访问通道

article 2026/3/22 17:34:10

1. 为什么你需要frp内网穿透想象一下这个场景你在家里搭建了一个NAS存储服务器存满了珍贵的家庭照片和工作文档或者你在办公室的Linux服务器上部署了一个内部使用的Web应用。这些服务运行得非常好但有个致命问题——它们都在内网环境中没有公网IP地址。这意味着当你出差在外或者想在家里访问公司服务器时就会遇到望洋兴叹的尴尬。frpFast Reverse Proxy就是为解决这个问题而生的神器。它就像一位专业的快递小哥能够把内网的服务打包送到公网上让外部用户也能访问。我最初接触frp是因为需要远程维护客户的服务器经过多次实践后发现相比其他方案frp具有配置简单、性能稳定、安全性高等显著优势。2. 环境准备与安装2.1 硬件与网络需求在开始之前你需要准备两台机器服务端一台具有公网IP的VPS或云服务器推荐1核1G以上配置客户端需要穿透的内网机器可以是树莓派、NAS或任何Linux设备我建议选择距离你较近的云服务商比如阿里云、腾讯云的轻量应用服务器实测延迟会更低。网络方面确保服务端的7000端口默认frp通信端口没有被防火墙屏蔽。2.2 下载与解压frp访问frp的GitHub发布页面获取最新版本。这里有个小技巧使用-L参数让wget自动跟随重定向# 服务端操作 wget -L https://github.com/fatedier/frp/releases/download/v0.65.0/frp_0.65.0_linux_amd64.tar.gz tar -zxvf frp_0.65.0_linux_amd64.tar.gz mv frp_0.65.0_linux_amd64 frp cd frp对于ARM架构的设备如树莓派需要下载linux_arm64版本。解压后你会看到这些关键文件frps/frpc服务端/客户端主程序frps.toml/frpc.toml配置文件frps_full.toml完整的配置示例强烈建议阅读3. 服务端配置详解3.1 基础配置编辑frps.toml时安全是首要考虑因素。这是我的生产环境配置bindAddr 0.0.0.0 bindPort 7000 auth.token YourStrongTokenHere! # 务必修改为复杂字符串 # 仪表盘配置 webServer.addr 0.0.0.0 webServer.port 7500 webServer.user CustomAdminName webServer.password ComplexPassword123! # 端口限制 allowPorts [ { start 20000, end 29999 } # 只开放这个范围 ]几个关键点auth.token相当于门禁密码客户端必须提供相同的token才能连接限制端口范围可以防止滥用我习惯预留10000个端口实际可能只用几个仪表盘密码不要使用默认值建议用密码管理器生成3.2 系统服务配置使用systemd管理frps是最可靠的方式。创建/etc/systemd/system/frps.service[Unit] Descriptionfrp server Afternetwork-online.target Wantsnetwork-online.target [Service] Typesimple ExecStart/path/to/frps -c /path/to/frps.toml Restarton-failure RestartSec30 StandardOutputappend:/var/log/frps.log StandardErrorappend:/var/log/frps.log [Install] WantedBymulti-user.target这里有几个优化点将日志统一输出到/var/log/目录设置30秒重启间隔避免频繁重启使用绝对路径确保可靠性启用服务并检查状态sudo systemctl daemon-reload sudo systemctl enable frps sudo systemctl start frps sudo systemctl status frps # 应该显示active (running)4. 客户端配置实战4.1 基础代理配置假设我们要暴露内网的SSH服务22端口和Web服务8080端口serverAddr your.server.ip serverPort 7000 auth.token YourStrongTokenHere! # 必须与服务端一致 [[proxies]] name ssh-tunnel type tcp localIP 127.0.0.1 localPort 22 remotePort 20001 # 必须在服务端allowPorts范围内 [[proxies]] name web-app type tcp localIP 192.168.1.100 localPort 8080 remotePort 20002注意事项remotePort必须在服务端允许的端口范围内如果服务在内网其他机器上修改localIP即可每个[[proxies]]代表一个独立的代理规则4.2 高级功能配置frp还支持很多实用功能比如1. 健康检查避免连接无效服务[[proxies]] # ...其他配置... healthCheck.type tcp healthCheck.timeoutSeconds 3 healthCheck.maxFailed 32. 负载均衡多个客户端提供相同服务[[proxies]] # ...其他配置... loadBalancer.group web-servers loadBalancer.groupKey 1234563. 加密与压缩提升安全性transport.useEncryption true transport.useCompression true5. 安全加固与优化5.1 防火墙配置在服务端使用UFW或firewalld严格限制访问# UFW示例 sudo ufw allow 7000/tcp # frp主端口 sudo ufw allow 20000:29999/tcp # 代理端口范围 sudo ufw allow 7500/tcp # 仪表盘 sudo ufw enable对于云服务器还需要在安全组中开放这些端口。建议设置源IP限制只允许特定IP访问管理端口7500。5.2 连接保活与故障转移在客户端配置中添加这些参数可以提升稳定性transport.heartbeatInterval 30 transport.heartbeatTimeout 90 transport.dialServerTimeout 10实测发现设置合理的心跳间隔可以防止NAT超时断开连接。如果网络不稳定可以启用自动重连transport.connectServerMaxTimes 0 # 0表示无限重试 transport.reconnectDelaySeconds 56. 常见问题排查问题1客户端无法连接服务端检查serverAddr和serverPort是否正确确认服务端防火墙和云安全组已开放端口使用telnet your.server.ip 7000测试连通性问题2连接成功但无法访问服务确认localIP和localPort正确检查内网服务本身是否正常运行查看客户端日志/var/log/frpc.log问题3高延迟或频繁断开尝试启用压缩transport.useCompression true调整心跳间隔建议30-60秒考虑更换网络质量更好的服务端7. 实际应用案例7.1 远程开发环境搭建作为开发者我常用frp暴露内网的开发服务器[[proxies]] name vscode-server type tcp localIP 127.0.0.1 localPort 8080 # VS Code Web版端口 remotePort 20003这样在任何地方都能通过浏览器访问开发环境配合VS Code的Remote SSH插件体验几乎和本地开发无异。7.2 家庭监控系统接入家里的摄像头NVR通常只有内网访问[[proxies]] name nvr-web type tcp localIP 192.168.50.100 localPort 80 remotePort 20004 [[proxies]] name nvr-rtsp type tcp localIP 192.168.50.100 localPort 554 remotePort 20005这样既可以通过网页查看实时画面也能在手机APP中添加RTSP流地址。

Linux下frp内网穿透实战：从零搭建安全高效的远程访问通道

相关文章：

Linux下frp内网穿透实战：从零搭建安全高效的远程访问通道

CUDA编程避坑指南：共享内存Bank Conflict的实战排查与优化（附NVIDIA Nsight工具使用）

微信小程序滚动加载实战：如何避免列表卡顿（附完整代码）

Mininet与OpenFlow控制器集成指南：从Floodlight到OpenDaylight

Python新手必看：如何快速解决‘str‘ object has no attribute ‘to‘错误（附真实案例）

YOLOv8实战：从检测框到中心坐标的精准提取与应用

GME-Qwen2-VL-2B软件重构指南：识别并改善代码中的耦合过度问题

信号与系统实战：5个拉普拉斯变换典型例题解析（附MATLAB验证代码）

保姆级教程：用OpenVINO在Intel显卡上跑通PP-OCRv5文字识别（附环境配置避坑指南）

【C#避坑实战系列文章08】C#并行处理资源瓶颈诊断：用PerformanceCounter定位CPU/内存热点，优化并行度与算法

病理图像处理新手必看：SVS和TIFF格式转换的5个实用技巧（附代码示例）

HFSS仿真教程：用Ansys还原AirPods蓝牙天线设计（含LDS工艺参数）

信创实战：在麒麟V10上构建.NET 6与金仓数据库的完整应用栈

计算机组成原理实验避坑指南：原码乘法运算器的寄存器级联问题详解

Confluence数据安全指南：手动备份+定时任务全流程（附30天自动清理脚本）

Solidworks装配体Toolbox标准件修改全攻略：从尺寸调整到材质替换

Druid连接池配置避坑指南：如何避免getConnection()无限等待导致服务崩溃

ESP32+ENC28J60以太网Web服务器兼容库

VisionMaster 4.2.0新功能体验：图形化编程如何简化工业视觉项目开发

突破视觉局限：多光谱AI检测技术全栈实践

MCP与VS Code深度协同实战：从环境搭建到实时双向调试，7步完成企业级开发闭环

Asian Beauty Z-Image Turbo 开发环境搭建：Ubuntu 20.04系统配置全攻略

实测Face Analysis WebUI：3步完成人脸检测+年龄预测+性别识别，效果惊艳

Phi-3 Forest Laboratory 在STM32嵌入式开发中的应用猜想：代码注释与协议解析

Fast Video Cutter Joiner7.0.4：多格式免费视频编辑

源码编译：在现代化环境中部署PostgreSQL 11的实战指南

面试官总问的MESI协议，我用Go写了个模拟器帮你彻底搞懂

影刀RPA高级考试实战：用Python绕过反爬，把电影票房数据自动存进MySQL数据库

从零理解UDS故障码：手把手教你解读0x19服务返回的DTC状态位

好写作AI | 学术共同体对AI辅助写作的接纳度与规范共识研究