内网穿透实战笔记 1panel 面板部署 frps,Windows 部署 frpc
以 FRP(frps + frpc)为例,从概念、原理、安装到排障的全链路记录
(基于 2025-08-16 本次踩坑经历整理)
一、项目背景
手里有一台 Windows 台式机跑着一个 Web 服务(端口 8693),只在内网地址 192.168.0.120 上可访问;另有一台公网云主机(IP 81.70.xx.xx)。目标:不改动现有网络拓扑,实现“随时随地通过公网 IP:端口”访问台式机里的服务。最终选用 FRP(Fast Reverse Proxy)作为内网穿透方案,并在过程中踩了两个坑:
云安全组/系统防火墙未放行 frps 监听端口 52820;
frps 强制 token 认证,而 frpc desktop 默认验证方式为“无”,导致连接始终失败。
下文把整个过程、原理、常见坑点一次性梳理,方便日后复盘或给他人参考。
二、FRP 是什么
官方定位:一个高性能的反向代理应用,专注于内网穿透,支持 TCP、UDP、HTTP、HTTPS、STCP、XTCP、SUDP 等协议。
组成:
• frps(server)——部署在具有公网 IP 的机器上,负责接受外部连接、维持与多个 frpc 的长连接、流量转发。
• frpc(client)——部署在内网需要被访问的主机或同网段主机上,主动连 frps,并告知“把公网某端口映射到我内网的哪个地址+端口”。
典型流量路径
外部用户 → 公网 IP:remote_port → frps → frpc → 内网服务 local_ip:local_port 数据原路返回。
三、核心概念与配置文件字段
frps 关键字段
bindPort = 52820 # 客户端连接端口
auth.method = token # 认证方式(token/oidc)
auth.token = mySecureToken # 客户端必须携带同样 token
dashboard.addr = 0.0.0.0 # Web 面板地址
dashboard.port = 7500 # Web 面板端口
log.level = info
log.to = /var/log/frps.log
2.frpc 关键字段
[common]
server_addr = 81.70.xx.xx
server_port = 52820
auth.method = token
token = mySecureToken
tls_enable = true # 建议开启,防止中间人
[web_desktop] # 任意代理名称
type = tcp
local_ip = 192.168.0.120
local_port = 8693
remote_port = 8693 # 公网暴露端口
这里的 frpc 我用的是 frpc desktop 这个软件,配置如下所示:
四、安装与启动步骤(Linux frps + Windows frpc desktop 为例)
服务端
wget https://github.com/fatedier/frp/releases/download/v0.59.0/frp_0.59.0_linux_amd64.tar.gz
tar xf frp_0.59.0_linux_amd64.tar.gz
cd frp_0.59.0_linux_amd64
sudo mv frps /usr/local/bin/
sudo mkdir /etc/frp
sudo vim /etc/frp/frps.toml # 写入上文 frps 配置
sudo systemctl enable --now frps@frps.toml
这里用的是 1panel 搭建的frps 的服务,如图所示:
客户端(Windows 图形界面)
• 下载 FrpcDesktop 1.2.2,解压后直接运行 FrpcDesktop.exe
• Settings → Server 地址填 81.70.xx.xx,端口填 52820
• Auth 方式选 Token,填入与服务端一致的 mySecureToken
• TLS 开关打开(对应 frps.toml 中 tls 相关配置)
• Proxy 标签页 → 新建 TCP 代理
内网地址 192.168.0.120:8693
外网端口 8693
• 保存后点击“启动”
五、安全加固 checklist
云安全组:入方向放行 52820/TCP(frps 监听)、7500/TCP(可选 dashboard)、以及每个 remote_port(本例 8693/TCP)。
系统防火墙:Ubuntu 用 ufw allow 52820/tcp;CentOS 用 firewall-cmd。
强 token:长度 ≥ 32 位,包含大小写+数字+特殊字符。
Dashboard 登录口令:若开启公网访问 7500,务必在 frps.toml 中配置 dashboard_user / dashboard_pwd。
TLS:开启后可防止 token 或数据被中间人窃取。
最小暴露原则:仅映射必要端口;如只需 HTTP,可把 type 改为 http,并配置 custom_domains 或 subdomain,避免直接把 TCP 端口暴露在公网。
六、本次踩坑复盘
现象:frpc 日志一直报 “dial tcp 81.70.xx.xx:52820: i/o timeout”,dashboard 无客户端在线记录。
排查:
• 服务器 netstat -lntp | grep 52820 → frps 已监听 ✅
• ufw status → 52820 已放行 ✅
• 云安全组 → 52820 已放行 ✅
• 抓包 tcpdump host 81.70.xx.xx and port 52820 → 无握手包 ❌
• 最终发现 frps.toml 中 auth.method = token,而 frpc desktop 默认验证方式为“无”,导致握手阶段就被 frps 拒绝,连接直接被 reset,表现为“超时”。
解决:把 frpc desktop Auth 方式改为 Token,并填入一致 token,重启后日志出现 “login to server success, start proxy [web_desktop] success”,外网访问 81.70.xx.xx:8693 立即生效。
七、常见故障速查表
八、进阶玩法速览
HTTP/HTTPS 域名映射:配合 Nginx 或 frp 自身的 vhost 功能,实现 http://sub.domain.com 直接访问内网 Web。
多路复用:在 frpc 设置 connection_pool_count 提高吞吐。
STCP/XTCP:点对点穿透,无需开放公网端口,适合高安全场景。
插件系统:frp 支持 static_file、http_proxy、unix_domain_socket 等插件,可直接把内网 Samba、MySQL、SSH 暴露成公网服务。
K8s 或 Docker 部署:frps 可做成 Deployment + Service;frpc 用 sidecar 模式注入到业务 Pod。
九、一键备份脚本(Linux 服务端)
cat > /usr/local/bin/backup_frps.sh <<‘EOF’
#!/bin/bash
tar czf /opt/backup/frps_$(date +%F).tar.gz /etc/frp/frps.toml /var/log/frps.log
find /opt/backup -name “frps_*.tar.gz” -mtime +7 -delete
EOF
chmod +x /usr/local/bin/backup_frps.sh
echo “0 3 * * * root /usr/local/bin/backup_frps.sh” | sudo tee -a /etc/crontab
十、结语
FRP 的门槛极低,但“小配置、大坑点”:端口、防火墙、token、TLS、安全组缺一不可。本文把本次实战的完整链路、踩坑记录、排障思路全部固化,日后无论是自己回顾还是分享给同事,都能按图索骥,十分钟内完成部署。