AMD64 Linux 部署 FRP v0.65 内网穿透

由于我和前端开发不在同一个城市，基于远程开发的需要，我需要把服务暴露到公网，供给前端进行接口联调

一开始使用的是花生壳内网穿透，但是每月只有1Gb流量，并且我自己还要使用，流量不够用没办法使用此方案

我自己也在使用Zerotier，但是奈何前端同时说他没办法下载！！！ 所以这个方法也行不通

其他同事又推荐了 cpolar ，这是一个国内团队开发的内网穿透工具，但是出于安全性的考虑因此没有使用

找着找着突然发现 Cloudflare 其实就提供了 ZeroTrust Tunnel 内网穿透功能，原本以为问题可以得到解决

但是 Cloudflare Tunnel 解决了如何访问的问题，但访问速度却难以令人满意

再加上前端同事所在的办公环境本身网络条件较差，实际体验可以说是雪上加霜

直到后来我突然想到，公司有一台用于演示的公网服务器，通过它自行搭建内网穿透，问题不就得到解决了吗

于是说干就干，搭建方案总结如下

一、内网穿透工具——FRP#

FRP 是一款非常成熟的开源的由Go语言开发的轻量化内网穿透工具，目前在 Github 上收获了 103K 的 Star

我在很早之前就了解到过，只是感觉配置起来稍微有一点点的复杂，所以没用使用过

不过目前来看只有该方案是最简单的了（部署起来回看很简单，但是过程全是坑）

FRP 由两个独立的程序组成，分别是提供内网穿透服务的 FRPS 服务端，以及用于发起穿透请求的 FRPC 客户端

二、服务器与客户端准备工作#

2.1 下载 FRP 客户端与服务端#

前往 https://github.com/fatedier/frp/releases 下载 FRP 软件安装包

1
mkdir -p /opt/frp
2
wget https://github.com/fatedier/frp/releases/download/v0.65.0/frp_0.65.0_linux_amd64.tar.gz
3
tar -zxvf frp_0.65.0_linux_amd64.tar.gz -C /opt/frp --strip-components=1
4
cd /opt/frp

2.2 创建 FRP 组和用户#

1
# 创建 frp 组
2
sudo groupadd frp
3

4
# 创建 frp 用户，不允许登录、不创建 home 目录
5
sudo useradd -r -g frp -s /sbin/nologin -M frp

2.3 设置权限#

1
# 设置目录所有者
2
sudo chown -R frp:frp /opt/frp
3

4
# 目录权限：属主读写执行，属组读执行
5
sudo chmod 750 /opt/frp
6

7
# 确保可执行文件具备执行权限
8
sudo chmod +x /opt/frp/frps /opt/frp/frpc

三、FRPS 服务端配置#

3.1 配置 `/opt/frp/frps.toml`#

1
# =========================
2
# 基础监听设置
3
# =========================
4
# 允许访问的地址，无特殊要求全部放行
5
bindAddr = "0.0.0.0"
6
# 服务开放端口
7
bindPort = 7000
8

9
# HTTP 虚拟主机支持（用于 Web 服务域名访问，国内服务器需要进行备案）
10
# 若不使用 Nginx，可直接将域名解析至服务器公网 IP，由 FRPS 直接接管访问
11
# 若使用 Nginx，则需要将占用的 80 443 端口设置为其他闲置的端口
12
# 设置为其他闲置的端口后需要搭配 Nginx 的将通过域名访问的请求反向代理到 FRPS
13
# HTTP 请求入口端口（不使用 Nginx 则设置为 80）
14
vhostHTTPPort = 8080
15
# HTTPS 请求入口端口（可选，不使用 Nginx 则设置为 443）
16
vhostHTTPSPort = 8443
17
# HTTP 虚拟主机请求的默认超时时间（单位：秒）
18
vhostHTTPTimeout = 60
19

20
# 允许代理绑定的服务端端口范围，即希望服务端映射到公网的端口范围
21
# 该数据为数组形式，支持通过 start 和 end 设定端口范围，也支持通过 single 设定单独的端口
22
# vhostHTTPPort / vhostHTTPSPort 不受 allowPorts 控制
23
allowPorts = [
24
  { start = 20000, end = 30000 },
25
  { single = 8090 }
26
]
27

28
# =========================
29
# 安全认证
30
# =========================
31
[auth]
32
# 安全认证方式
33
method = "token"
34
# 建议设置为32 位以上的高强度随机字符串
35
# 客户端必须保持与服务端 token 一致才可以完成连接
36
# token 强度过低将会导致被盗用连接
37
token = "YOUR_STRONG_RANDOM_TOKEN_HERE"
38

39
# =========================
40
# 日志
41
# =========================
42
[log]
43
# 日志保存位置
44
to = "/opt/frp/frps.log"
45
# 日志等级
46
level = "info"
47
# 日志保存日期
48
maxDays = 7
49

50
# =========================
51
# Web 管理面板（可选）
52
# =========================
53
[webServer]
54
# 谨慎开放，具备设备管理能力
55
# addr = "0.0.0.0"
56
# Web 管理面板端口
57
# port = 7500
58
# Web 管理面板账户名称
59
# user = "admin"
60
# Web 管理面板账户密码
61
# password = "strong_password"

3.2 创建 systemd 服务#

1
sudo tee /etc/systemd/system/frps.service <<EOF
2
[Unit]
3
Description=FRP Server
4
After=network.target
5

6
[Service]
7
Type=simple
8
User=frp
9
WorkingDirectory=/opt/frp
10
ExecStart=/opt/frp/frps -c /opt/frp/frps.toml
11
Restart=always
12
RestartSec=5
13
LimitNOFILE=65536
14

15
[Install]
16
WantedBy=multi-user.target
17
EOF

3.3 启动服务#

1
sudo systemctl daemon-reload
2
sudo systemctl enable frps --now
3
sudo systemctl status frps

3.4 开放防火墙端口#

1
# UFW（Ubuntu）
2
sudo ufw allow 7000/tcp    # 服务端口
3
sudo ufw allow 8080/tcp    # HTTP 服务端口
4
sudo ufw allow 8443/tcp    # HTTPS 服务端口
5
sudo ufw allow 8090/tcp
6
sudo ufw allow 20000:30000/tcp
7

8
# firewalld（CentOS）
9
sudo firewall-cmd --permanent --add-port=7000/tcp
10
sudo firewall-cmd --permanent --add-port=8080/tcp
11
sudo firewall-cmd --permanent --add-port=8443/tcp
12
sudo firewall-cmd --permanent --add-port=8090/tcp
13
sudo firewall-cmd --permanent --add-port=20000-30000/tcp
14
sudo firewall-cmd --reload

云服务商（阿里云、腾讯云等）还需在安全组中放行相应端口！

四、FRPC 客户端配置#

4.1 配置 `/opt/frp/frpc.toml`#

1
# =========================
2
# 连接服务端
3
# =========================
4
# 公网服务器地址（IP 或域名）
5
serverAddr = "YOUR_PUBLIC_SERVER_IP"
6
# 服务端监听端口（必须与 frps.bindPort 一致）
7
serverPort = 7000
8
# 定义唯一用户，避免proxy_name重复而无法穿透
9
user = "YOUR_NAME"
10

11
# =========================
12
# 安全认证
13
# =========================
14
[auth]
15
# 安全认证方式（必须与 frps.auth.method 一致）
16
method = "token"
17
# 客户端必须保持与服务端 token 一致才可以完成连接
18
token = "YOUR_STRONG_RANDOM_TOKEN_HERE"
19

20
# =========================
21
# 代理配置示例
22
# =========================
23

24
# 示例 1：TCP 转发（适用于 Web、数据库、SSH 等）
25
# 将本地服务通过公网端口暴露出去（remotePort 需在 frps.allowPorts 范围内）
26
[[proxies]]
27
name = "my-web-app"
28
type = "tcp"
29
# 内网服务地址
30
localIP = "127.0.0.1"
31
# 内网服务端口
32
localPort = 8080
33
# 公网暴露端口（需在 allowPorts 范围内）
34
remotePort = 8090
35
# 可选：启用传输加密与压缩（会增加 CPU 开销，但更安全、传输更省）
36
transport.useEncryption = true
37
transport.useCompression = true
38

39
# 示例 2：HTTP 虚拟主机（基于域名访问）
40
# 需满足：
41
# 1) frps 配置了 vhostHTTPPort（例如 8080）
42
# 2) DNS 将域名解析到公网服务器 IP
43
# 3) 若使用 Nginx，占用 80/443，则由 Nginx 反代到 frps.vhostHTTPPort
44
[[proxies]]
45
name = "web-vhost"
46
type = "http"
47
# 内网服务地址（http 类型可不写 localIP，默认 127.0.0.1）
48
localIP = "127.0.0.1"
49
# 内网服务端口
50
localPort = 3000
51
# 通过域名区分不同服务
52
customDomains = ["app.yourdomain.com"]
53
transport.useEncryption = true
54
transport.useCompression = true
55

56
# 示例 3：HTTPS 虚拟主机（基于域名访问）
57
# 需满足：
58
# 1) frps 配置了 vhostHTTPSPort（例如 8443）
59
# 2) DNS 将域名解析到公网服务器 IP
60
# 3) 若使用 Nginx，通常建议在 Nginx 终止 TLS，然后转发到 frps.vhostHTTPPort
61
#    如果你希望 HTTPS 直接由 frps.vhostHTTPSPort 接入，则需要保证链路与证书配置正确
62
# localPort 对应的是本地 HTTPS 服务端口，FRP 不负责证书管理
63
[[proxies]]
64
name = "web-https"
65
type = "https"
66
localIP = "127.0.0.1"
67
localPort = 3443
68
customDomains = ["secure.yourdomain.com"]
69

70
# =========================
71
# 日志
72
# =========================
73
[log]
74
# 日志保存位置
75
to = "/opt/frp/frpc.log"
76
# 日志等级
77
level = "info"
78
# 日志保存日期
79
maxDays = 7
80

81
# =========================
82
# Web 管理面板（可选）
83
# =========================
84
[webServer]
85
# 仅建议监听本机，避免暴露到公网
86
addr = "127.0.0.1"
87
# 本地管理面板端口
88
port = 7400
89
# Web 管理面板账户名称
90
user = "admin"
91
# Web 管理面板账户密码（建议使用高强度密码）
92
password = "strong_password"

安全提示：

避免暴露 SSH（22）、MySQL（3306）、Redis（6379）等高危端口。如必须暴露，请配合 IP 白名单或前置认证网关

云服务商（阿里云、腾讯云等）还需在安全组中放行相应端口！

4.2 创建 systemd 服务#

1
sudo tee /etc/systemd/system/frpc.service <<EOF
2
[Unit]
3
Description=FRP Client
4
After=network.target
5

6
[Service]
7
Type=simple
8
User=frp
9
WorkingDirectory=/opt/frp
10
ExecStart=/opt/frp/frpc -c /opt/frp/frpc.toml
11
Restart=always
12
RestartSec=5
13

14
[Install]
15
WantedBy=multi-user.target
16
EOF

4.3 启动服务#

1
sudo systemctl daemon-reload
2
sudo systemctl enable frpc --now
3
sudo systemctl status frpc

五、验证部署#

5.1 查看日志：#

1
journalctl -u frps -f   # 服务端
2
journalctl -u frpc -f   # 客户端

5.2 外网访问测试：#

如果已经完成穿透配置，则进行访问测试

TCP 服务：telnet <公网IP> 8090
HTTP 服务：浏览器访问 http://app.yourdomain.com

六、卸载清理#

1
# 停止服务
2
sudo systemctl stop frps frpc
3
sudo systemctl disable frps frpc
4

5
# 删除文件
6
sudo rm -rf /opt/frp
7
sudo rm -f /etc/systemd/system/frp*.service
8
sudo userdel frp
9
sudo journalctl --vacuum-time=1s  # 清理日志（可选）

七、安全建议与常见问题#

7.1 安全建议#

Token 长度 ≥ 32 位随机字符串
allowPorts 仅放行必要端口
避免直接暴露 SSH / 数据库端口
所有代理启用加密与压缩
HTTPS 优先在 Nginx 层终止

7.2 常见错误#

login to server failed：Token 不一致
proxy name already in use：多个客户端使用相同 name
connection refused：防火墙或安全组未放行
HTTP 404：域名未解析或 customDomains 配置错误
无日志输出：检查日志路径与目录权限