基于frp的SSH内网穿透实战:从零搭建远程Linux管理通道

风乘

1. 为什么需要内网穿透?

作为一个常年跟Linux服务器打交道的运维,我经常遇到这样的场景:实验室的Ubuntu工作站跑着重要任务,但人不在办公室时想查看进度;家里的NAS存了大量资料,出差时急需某个文件却无法访问。这时候就需要内网穿透技术了。

内网穿透的本质是打通内外网之间的通信壁垒。举个例子,就像你家的内线电话(内网设备)无法直接拨打外网手机,需要在总机(公网服务器)上开通转接服务。frp就是这样一个"智能总机",它通过建立稳定的转发通道,让外部请求能够抵达内网中的设备。

相比传统的端口映射或DDNS方案,frp有三大优势:一是配置简单,10分钟就能跑通基础功能;二是性能稳定,实测在5M带宽的VPS上能保持SSH流畅操作;三是安全性好,支持TLS加密传输。最重要的是,它完美解决了没有公网IP这个痛点。

2. 环境准备与安装

2.1 硬件设备选择

我的实验环境采用腾讯云轻量应用服务器(1核2G,Ubuntu 20.04)作为服务端,本地用树莓派4B模拟内网设备。这里有个省钱小技巧:如果只是用于SSH管理,选择最便宜的按量计费云服务器即可,实测1核1G配置完全够用。

VPS需要满足两个硬性条件:一是必须有公网IP(推荐选择BGP多线机房),二是防火墙要开放相应端口。以腾讯云为例,需要在控制台的安全组里放行7000(服务端口)和6000(转发端口)的TCP入站规则。

2.2 软件环境配置

首先在两台机器上同步安装frp。截至2023年7月,稳定版是v0.51.3。这里有个避坑提示:务必保持服务端和客户端版本一致!我曾在升级时混用版本导致连接异常。

bash复制# 下载解压(服务端和客户端同样操作)
wget https://github.com/fatedier/frp/releases/download/v0.51.3/frp_0.51.3_linux_amd64.tar.gz
tar -zxvf frp_0.51.3_linux_amd64.tar.gz
mv frp_0.51.3_linux_amd64 frp
cd frp

解压后的目录结构需要注意这几个关键文件:

  • frps/frps.ini:服务端程序与配置
  • frpc/frpc.ini:客户端程序与配置
  • systemd/:系统服务管理文件(后面会用到)

3. 服务端深度配置

3.1 基础配置模板

先给服务端做个"瘦身",删除客户端相关文件后编辑配置:

bash复制rm frpc frpc.ini
vim frps.ini

基础配置建议采用以下增强版模板,比默认配置多了身份验证和日志记录:

ini复制[common]
bind_port = 7000
authentication_method = token
token = your_secure_password_here
log_file = ./frps.log
log_level = info
log_max_days = 3

这里重点说下token的安全设置:千万不要用简单密码!建议使用openssl rand -base64 16生成随机字符串。我曾有个客户使用123456作为token,结果服务器成了矿机...

3.2 后台服务管理

测试运行时直接./frps -c frps.ini,但生产环境推荐用systemd托管:

bash复制sudo cp systemd/frps.service /etc/systemd/system/
sudo vim /etc/systemd/system/frps.service

修改ExecStart路径为你的实际路径,例如:
ExecStart=/home/ubuntu/frp/frps -c /home/ubuntu/frp/frps.ini

然后启动服务:

bash复制sudo systemctl enable frps
sudo systemctl start frps
journalctl -u frps -f  # 查看实时日志

这种管理方式比nohup更可靠,服务器重启后会自动恢复服务。曾经有次机房断电,所有nohup启动的服务都挂了,唯独systemd托管的frps完好无损。

4. 客户端进阶配置

4.1 多场景配置方案

客户端配置才是真正的重头戏。先看基础SSH转发配置:

ini复制[common]
server_addr = your_server_ip
server_port = 7000
token = your_secure_password_here

[ssh]
type = tcp
local_ip = 127.0.0.1
local_port = 22
remote_port = 6000
use_encryption = true
use_compression = true

这里启用了加密和压缩,实测在跨国连接时能降低30%的延迟。如果管理多台设备,可以这样配置:

ini复制[lab_pc_ssh]
type = tcp
local_ip = 192.168.1.100
local_port = 22
remote_port = 6001

[home_nas_ssh]
type = tcp
local_ip = 192.168.50.10
local_port = 22
remote_port = 6002

4.2 稳定性优化技巧

客户端同样建议用systemd管理,这里分享几个实战经验:

  1. 心跳检测配置(防止连接僵死):
ini复制[common]
...
heartbeat_interval = 30
heartbeat_timeout = 90
  1. 断线自动重连:
ini复制[common]
...
login_fail_exit = false
  1. 带宽限制(避免占用过多资源):
ini复制[ssh]
...
bandwidth_limit = 1MB

有次我忘记设带宽限制,内网设备同步大文件时直接把VPS带宽跑满,导致所有连接卡死。现在都会给每个服务加上合理的带宽限制。

5. 安全加固方案

5.1 基础防护措施

看到太多人配置完frp就被入侵,必须强调安全防护:

  1. 禁用默认端口:把7000改为其他高位端口
  2. 设置防火墙规则:仅允许特定IP访问服务端口
  3. 启用TLS加密(服务端配置):
ini复制[common]
...
tls_only = true

5.2 高级安全策略

对于企业级应用,建议:

  1. 端口白名单:
ini复制[ssh]
...
allow_ports = 6000-6005
  1. 代理协议(防止IP伪造):
ini复制[ssh]
...
proxy_protocol_version = v2
  1. 双因素认证:结合Google Authenticator实现动态token

有次安全审计发现,黑客通过暴力破解尝试了上万次token。后来我们改用动态token+失败锁定机制,再没出现过未授权访问。

6. 故障排查指南

6.1 常见问题解决

连接不上时,按这个顺序排查:

  1. 检查服务端端口通不通:
bash复制telnet your_server_ip 7000
  1. 查看服务端日志:
bash复制journalctl -u frps --since "1 hour ago"
  1. 客户端测试模式:
bash复制./frpc -c frpc.ini --log-level=debug

6.2 性能优化建议

当连接延迟高时:

  1. 启用压缩(适合文本操作):
ini复制use_compression = true
  1. 调整加密级别(低延迟网络可关闭):
ini复制use_encryption = false
  1. 更换传输协议(KCP适合高丢包环境):
ini复制protocol = kcp

记得有次跨国SSH卡顿,启用KCP协议后,延迟从800ms降到了300ms左右,效果立竿见影。

7. 扩展应用场景

7.1 远程桌面管理

除了SSH,还可以转发其他服务:

ini复制[vnc]
type = tcp
local_ip = 192.168.1.100
local_port = 5900
remote_port = 5900

7.2 Web服务穿透

内网Web服务也能对外暴露:

ini复制[web]
type = http
local_port = 8080
custom_domains = your.domain.com

需要先在服务端配置HTTP端口:

ini复制[common]
...
vhost_http_port = 8080

7.3 多协议支持

frp还支持UDP、STCP等协议。比如转发DNS查询:

ini复制[dns]
type = udp
local_ip = 192.168.1.53
local_port = 53
remote_port = 6003

配置过程中发现个有趣现象:UDP转发在4G网络下比TCP更稳定,适合移动设备连接。

内容推荐

SpringBoot项目集成支付宝沙箱支付,从密钥生成到回调处理的全流程避坑指南
本文详细介绍了SpringBoot项目集成支付宝沙箱支付的全流程避坑指南,涵盖密钥生成、回调处理等关键环节。特别针对沙箱环境配置、密钥管理、依赖版本兼容性等常见问题提供实战解决方案,帮助开发者高效完成支付功能对接,避免因细节问题导致的系统异常。
Spring Boot Maven插件repackage目标:从构建产物到可执行JAR的蜕变之旅
本文深入解析Spring Boot Maven插件的repackage目标,揭示其如何将普通JAR转化为可执行的fat JAR。通过对比repackage前后的结构差异,详细说明其工作原理及优势,并提供实际应用中的避坑指南和高级定制技巧,帮助开发者高效构建Spring Boot应用。
SuperPoint实战解析:从官方预训练模型到自定义数据集的迁移学习(一)
本文深入解析SuperPoint特征点检测算法的实战应用,从官方预训练模型部署到自定义数据集的迁移学习。详细介绍了SuperPoint的核心原理、环境配置、数据准备策略以及迁移学习的关键步骤,帮助开发者快速掌握这一先进的计算机视觉技术,提升特征点检测的准确性和适应性。
跨越框架鸿沟:利用PNNX实现PyTorch模型到NCNN的无缝转换实战
本文详细介绍了如何利用PNNX工具实现PyTorch模型到NCNN框架的高效转换,解决传统ONNX转换中的算子兼容性问题。通过实战案例展示PNNX在计算图优化、动态shape支持和量化加速方面的优势,帮助开发者提升模型部署效率并保持原始精度。
vxe-table:解锁Vue项目中的高效表格交互(树形编辑与数据校验实战)
本文详细介绍了如何使用vxe-table在Vue项目中实现高效的表格交互,特别是树形编辑与数据校验功能。通过实战案例展示了如何快速搭建可编辑树形表格,配置行内编辑与实时校验,以及实现批量操作与数据持久化。vxe-table作为基于Vue的表格组件库,能显著提升开发效率,特别适合处理复杂表格交互场景。
从零到一:基于Canal-Admin构建企业级数据同步管控平台
本文详细介绍了如何基于Canal-Admin构建企业级数据同步管控平台,涵盖环境准备、部署实践、集群化方案和全链路监控体系建设。通过Canal-Admin的统一Web界面,企业可大幅降低运维成本,实现高效数据同步与实时监控,特别适合解决数据库变更同步、任务异常检测等痛点问题。
SystemVerilog信箱(mailbox)实战:如何避免线程通信中的常见坑点
本文深入探讨SystemVerilog中mailbox在线程通信中的实战应用,解析如何避免类型混乱、死锁等常见问题。通过容量监控、超时机制和类型安全实践等解决方案,提升验证环境的稳定性和效率,特别适用于芯片验证和多线程同步场景。
MobileNet演进史:从V1到V3的轻量化设计哲学与实战解析
本文深入解析MobileNet从V1到V3的轻量化设计哲学与实战应用。通过深度可分离卷积、倒残差结构等创新设计,MobileNet系列在移动端和嵌入式设备上实现了高效推理。文章详细对比了各版本的技术特点,并提供了模型选择指南和部署优化经验,帮助开发者掌握轻量化网络的核心技术。
3DMAX工业管道高效建模:MCG Pipes插件核心功能与实战技巧解析
本文深入解析3DMAX工业管道高效建模工具MCG Pipes插件的核心功能与实战技巧。通过参数化智能生成技术,该插件能快速将样条线路径转换为完整管道系统,大幅提升建模效率。文章详细介绍了安装要点、基础操作及高阶参数设置,特别针对管道衔接、螺栓系统定制等常见问题提供解决方案,适合可视化工程师、产品设计师和建筑BIM人员使用。
AES-128的Verilog实现避坑指南:行移位和列混合最容易出错的地方在哪?
本文深入解析AES-128的Verilog实现中行移位(ShiftRows)和列混合(MixColumns)两大关键模块的常见错误与调试技巧。针对行移位的正向/逆向移位对称性误区、字节序问题,以及列混合的GF(2^8)域运算难点,提供详细的代码示例和优化方案,帮助开发者高效实现加密解密算法并避免典型错误。
Spring AntPathMatcher:从入门到精通,解锁路径匹配的实战密码
本文深入解析Spring框架中的AntPathMatcher工具,从基础通配符使用到高级路径匹配技巧,全面讲解如何高效实现路径匹配。通过实战案例展示其在动态路由、配置管理和资源控制中的应用,并分享性能优化与最佳实践,帮助开发者掌握这一Spring世界的路径匹配利器。
在x64平台解锁Home Assistant潜能:Add-ons与HACS进阶安装与生态扩展指南
本文详细解析如何在x64平台上充分发挥Home Assistant的潜力,涵盖Add-ons与HACS的进阶安装与配置技巧。通过实战案例展示如何扩展智能家居生态,包括传统家电接入与多平台设备统一管理,帮助用户打造高效稳定的智能家居系统。
【PyG实战】从OGB-MAG数据集出发:构建与训练你的首个异构图神经网络
本文详细介绍了如何使用PyTorch Geometric(PyG)构建和训练异构图神经网络(GNN),以OGB-MAG数据集为例。从数据加载、模型构建到训练优化,提供了完整的实战指南,帮助开发者快速掌握异构GNN的核心技术,适用于学术网络分析等复杂场景。
从航片到地形图:Metashape(Photoscan)生成高精度DOM与DEM的全流程实战解析
本文详细解析了如何使用Metashape(原Photoscan)从航拍照片生成高精度数字正射影像(DOM)和数字高程模型(DEM)的全流程。涵盖硬件配置、数据准备、空中三角测量、控制点刺点、密集点云生成等关键步骤,并分享专业级效率提升技巧和成果质检方法,助力测绘工作者实现厘米级精度地形图制作。
QML中clip属性失效?别慌,用OpacityMask和ShaderEffect轻松搞定圆角裁剪
本文深入解析QML中clip属性对圆角裁剪失效的原因,并提供两种高效解决方案:使用OpacityMask遮罩技术和ShaderEffect自定义着色器。通过详细代码示例和性能优化技巧,帮助开发者实现完美的圆角裁剪效果,提升UI设计质量与渲染性能。
告别手动配置!用Docker一键部署Minecraft 1.11.2 + Python编程环境
本文介绍如何利用Docker容器技术一键部署Minecraft 1.11.2与Python编程环境,解决传统手动配置中的版本冲突和环境隔离问题。通过详细的Dockerfile和Compose配置,实现快速搭建、隔离运行和轻松迁移,特别适合教育场景和技术爱好者提升效率。
用Verdi2018高效学习RISC-V内核:蜂鸟E203 RTL代码调试与波形分析实战
本文详细介绍了如何使用Verdi2018高效学习RISC-V内核蜂鸟E203的RTL代码调试与波形分析。通过工程加载优化、波形分析战术、动态调试技巧及性能分析,帮助工程师深入理解处理器设计思想,提升学习效率。重点展示了Verdi2018在代码导航、信号追踪和自动化流程中的高阶应用。
U-Boot环境变量(ENV)的定制化配置与实战应用
本文深入探讨U-Boot环境变量(ENV)的定制化配置与实战应用,涵盖基础概念、CONFIG_EXTRA_ENV_SETTINGS宏使用技巧、全志A40i开发板实战案例,以及高级排错与管理方法。通过具体代码示例展示如何配置网络启动参数、实现多启动模式切换,并分享环境变量长度限制、动态生成等实用经验,帮助开发者高效管理嵌入式系统启动流程。
告别昂贵设备:用nRF52840 Dongle和Wireshark搭建你的个人蓝牙协议分析实验室
本文详细介绍了如何利用nRF52840 Dongle和Wireshark搭建低成本蓝牙协议分析实验室,帮助开发者和技术爱好者无需昂贵设备即可进行BLE协议分析。从硬件准备、软件配置到实战应用,全面覆盖蓝牙嗅探、数据捕获和协议解析等关键步骤,是物联网开发和蓝牙技术学习的实用指南。
Benders分解实战:从几何直观到Python实现与大规模MIP求解
本文深入解析Benders分解算法,从几何直观到Python实现,帮助读者掌握大规模MIP求解技巧。通过生产计划问题的完整代码示例,详细展示如何利用Benders分解处理整数与连续决策的混合优化问题,并分享性能优化与常见陷阱的实战经验。
已经到底了哦
精选内容
热门内容
最新内容
阵列天线波束赋形实战:从线阵到面阵的Python仿真指南
本文详细介绍了阵列天线波束赋形的Python仿真实践,从线阵到面阵的实现方法。通过核心代码示例和可视化技巧,帮助读者掌握方向图合成技术,优化波束控制性能,适用于5G通信和雷达系统设计。
机器学习中的数学——距离度量(十八):卡方距离(Chi-square Measure)在特征选择与图像检索中的实战解析
本文深入解析了卡方距离(Chi-square Measure)在机器学习中的应用,特别是在特征选择与图像检索中的实战技巧。通过具体代码示例和案例分析,展示了卡方距离如何有效处理计数型数据和高维特征,提升模型性能。文章还探讨了卡方距离的局限性及应对策略,为开发者提供了实用的优化建议。
保姆级教程:手把手在PyTorch 1.7上复现Swin-UNet,完成你的第一个Transformer医学分割项目
本文提供了一份详细的PyTorch 1.7教程,手把手指导读者复现Swin-UNet模型,完成Transformer医学图像分割项目。从环境配置、数据预处理到模型实现和训练技巧,全面解析如何将Swin Transformer与UNet架构结合,解决医学图像分割中的核心挑战。
从Post Send到Work Completion:手把手拆解一次RDMA SEND操作的完整生命周期
本文深入解析了RDMA SEND操作从用户态API调用到完成通知的完整生命周期,详细介绍了工作请求提交、驱动层WQE构造、HCA处理与网络发包、对端处理与完成事件生成等关键步骤,并提供了性能优化实战技巧,帮助开发者更好地理解和优化RDMA技术。
Activiti7工作流引擎:实战篇(一) ServiceTask自动化决策
本文深入探讨了Activiti7工作流引擎中ServiceTask的自动化决策功能,通过请假审批流程的实战案例,详细解析了ServiceTask的核心作用、配置要点及业务逻辑实现技巧。文章还提供了性能优化建议和常见问题排查指南,帮助开发者高效构建智能工作流系统。
HFSS仿真结果不会看?手把手教你读懂S参数、方向图和辐射效率
本文详细解析了HFSS仿真结果中的S参数、方向图和辐射效率等关键指标,帮助工程师从复杂数据中提取设计洞察。通过实战案例和技巧分享,提升高频电路和天线设计的仿真分析能力,特别适合需要进行数据后处理的工程师参考。
用夜神模拟器+Brup Suite抓取手机APP数据包:新手入门避坑指南(附信呼OA实战)
本文详细介绍了如何使用夜神模拟器和Burp Suite抓取手机APP数据包,特别针对新手常见的网络代理配置问题提供避坑指南。通过信呼OA实战案例,演示了从数据包分析到漏洞挖掘的全过程,帮助读者掌握移动应用安全测试的核心技能。
从信息学奥赛真题出发:同余定理与幂取模的实战精解
本文从信息学奥赛真题出发,详细解析同余定理与幂取模的实战应用。通过递推、迭代和递归三种方法实现幂取模运算,并结合具体例题展示解题技巧与优化策略,帮助竞赛选手高效解决大数计算问题。
STM32电源管理避坑指南:HAL库低功耗函数常见误用与解决方案
本文深入解析STM32 HAL库在超低功耗电源管理中的常见误用场景,包括唤醒引脚配置、备份域访问、电压阈值检测等关键问题,并提供经过验证的解决方案。针对物联网和便携式设备的开发需求,文章详细介绍了如何避免低功耗设计中的典型陷阱,帮助工程师优化电池供电设备的性能与能效。
Unity HDRP项目实战:CrossSection 2.7剖切插件从安装到避坑全记录(附ShaderKeyword超限解决方案)
本文详细介绍了Unity HDRP项目中CrossSection 2.7剖切插件的安装与优化实践,包括环境配置、ShaderKeyword超限解决方案及性能调优技巧。通过实战案例,帮助开发者高效集成该插件,解决工业可视化、医疗仿真等领域的模型剖切需求,提升项目开发效率。