frp + nginx 配置多人共用的http 內網穿透服務

 

一、 前言

frp 是一個用Go語言開發的，可用於內網穿透的高性能的反向代理應用，支持 tcp, udp 、 http 和 https。可將一個部署在本機的web服務映射到外網。

本文主要講如何基於frp + nginx 配置http 內網穿透服務，承載多人同時使用，從而支持微信公眾號，微信小程序的本地開發調試

所需資源：

• 一台公網服務器或者VPS（本人用的 騰訊雲的主機）
• 一個指向到此台公網服務器的域名（本文以msh.com 為例）

本文涉及的環境

• centos7.2
• nginx 1.10.1
• frp 0.22.0
• go 1.11.4
• Windows 10

二 、 frp 原理

（請仔細閱讀原理，在不理解原理的情況下上手配置容易出錯，且很難定位原因。這都是本人所經歷的慘痛教訓）

以本人搭建的frp內網穿透服務為例：

第一步： 配置無誤的情況下，frp服務端和frp客戶端先后啟動，建立通信隧道，其中：

• frp服務端在公網服務器運行，監聽http 7071端口（此端口可自定義），接收此端口下所有外網用戶請求
• frp客戶端在你本地運行，代理本地想要暴露給外網的web服務端口，本文以8585 , 8686 端口為例

第二步： 通過配置nginx反向代理，將指向本台公網服務器的dev.msh.com 下的子域名，映射到服務器的7071端口，也就是frp監聽的那個端口。 外網用戶訪問dev.msh.com下的子域名，例如 ：

• a.dev.msh.com
• b.dev.msh.com

等同於訪問msh.com：7071，會 觸發 frp服務端和客戶端的互動，從而http請求由frp服務端傳遞到frp客戶端

第三步： frp客戶端收到http請求后，基於自定義配置，則做如下處理：

• 監聽到http請求中的域名為 a.dev.msh.com，則將請求轉發到我本地的8585web服務端口
• 監聽到http請求中的域名為 b.dev.msh.com，則將請求轉發到我本地的8686web服務端口

第四步： 本地的web服務收到http請求后，對請求做處理，並完成響應

第五步： frp客戶端將響應結果回傳給frp的服務端。服務端最終將響應回傳給外網用戶

第六步： 最終的實測效果為：

• 訪問 a.dev.msh.com，等同於訪問我本地的localhost:8585
• 訪問 b.dev.msh.com，等同於訪問我本地的localhost:8686

三 、 准備工作

3.1 在域名解析后台配置子域名

本文以msh.com 為例：

登錄域名的解析后台，在msh.com下增加兩條A記錄： dev , *.dev,記錄值為部署frp服務端的公網服務器的ip。

代表dev.msh.com下的所有的子域名，會全部指向此台公網服務器。

3.2 關於 go語言環境

因為本文采用的是綠色安裝，所以不需要配置go語言環境。多謝 Tylerrrkd 指正

四、服務端配置

4.1 frp服務端安裝配置

下載解壓

# 下載
wget https://github.com/fatedier/frp/releases/download/v0.22.0/frp_0.22.0_linux_amd64.tar.gz
# 解壓
 tar -zxvf frp_0.22.0_linux_amd64.tar.gz 
 
復制代碼

修改配置文件

解壓后進入解壓目錄，找到frps.ini文件, 做如下配置 。配置說明請參見各項對應的注釋

[common]
# frp監聽的端口，用作服務端和客戶端通信
bind_port = 7000

# 服務端通過此端口接監聽和接收公網用戶的http請求
vhost_http_port = 7071

# frp提供了一個控制台，可以通過這個端口訪問到控制台。可查看frp當前有多少代理連接以及對應的狀態
dashboard_port = 7500


# 服務端的subdomain_host需要和客戶端配置文件中的subdomain、local_port配合使用，
# 可通過{subdomain}.{subdomain_host} 的域名格式來訪問自己本地的 web 服務。
# 假如服務端的subdomain_host為dev.msh.com，客戶端某個配置組中的
# subdomain為a,local_port為8585，
# 則：
# 訪問 a.dev.msh.com ，等同於訪問本地的localhost:8585

subdomain_host = dev.msh.com

復制代碼

后台啟動frp服務端

nohup ./frps -c frps.ini &
# 查看輸出日志 
tail -f nohup.out
復制代碼

修改配置文件后重新加載

官方暫未提供重新加載配置文件命令，所以只能用笨方法

# 查看frp進程號
ps -ef |grep  'frp'
root     19061 13224  0 03:06 pts/2    00:00:00 ./frps -c frps.ini
root     23064 13224  0 03:34 pts/2    00:00:00 grep --color=auto frp
# 殺死進程
kill -9 19061
# 再次啟動frp
nohup ./frps -c frps.ini &
復制代碼

4.2 nginx反向代理配置

(關於如何安裝nginx就不過多贅述，詳細安裝教程請參考 Nginx Linux詳細安裝部署教程)

修改 nginx.conf 文件

	# frp的接收http請求的反向代理
	server {
		listen 80;
		server_name *.dev.msh.com  dev.msh.com;
		
		location / {
			# 7071端口即為frp監聽的http端口
			proxy_pass http://127.0.0.1:7071; 
			proxy_set_header Host $host:80;
			proxy_set_header X-Real-IP $remote_addr;
			proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
			
			proxy_set_header Upgrade $http_upgrade;
			proxy_set_header Connection "upgrade";
			
			proxy_connect_timeout 7d;
			proxy_send_timeout 7d;
			proxy_read_timeout 7d;

			}
		# 防止爬蟲抓取
		if ($http_user_agent ~* "360Spider|JikeSpider|Spider|spider|bot|Bot|2345Explorer|curl|wget|webZIP|qihoobot|Baiduspider|Googlebot|Googlebot-Mobile|Googlebot-Image|Mediapartners-Google|Adsbot-Google|Feedfetcher-Google|Yahoo! Slurp|Yahoo! Slurp China|YoudaoBot|Sosospider|Sogou spider|Sogou web spider|MSNBot|ia_archiver|Tomato Bot|NSPlayer|bingbot")
			{
				return 403;
			}
	}
復制代碼

讓nginx重新加載配置文件

/usr/local/nginx/sbin/nginx   -s reload
復制代碼

4.3 開啟防火牆端口

# 開啟防火牆端口   7000端口和7071端口即為上面配置的bind_port和vhost_http_port端口
firewall-cmd --zone=public --add-port=7000/tcp --permanent
firewall-cmd --zone=public --add-port=7071/tcp --permanent

# 開啟后重啟防火牆，使得剛剛的修改生效
firewall-cmd --reload
復制代碼

五、 客戶端安裝配置

下載客戶端

去github上面下載最新版的 windows客戶端 github.com/fatedier/fr… ，找到 frp_0.23.1_windows_amd64.zip，點擊下載即可

（Mac用戶請下載Mac版本的客戶端）

解壓后，編輯 frpc.ini 文件

[common]
# 部署frp服務端的公網服務器的ip
server_addr = 132.232.64.79
# 和服務端的bind_port保持一致
server_port = 7000


# 代理服務一 ，[]內的代理服務名稱在全局范圍內確保唯一，每個人的每個代理服務不能重名，
# 否則會影響正常使用。
 [http-a]
type = http
# local_port代表你想要暴露給外網的本地web服務端口
local_port = 8585
# subdomain 在全局范圍內要確保唯一，每個代理服務的subdomain不能重名，否則會影響正常使用。
# 客戶端的subdomain需和服務端的subdomain_host配合使用
subdomain = a


# 代理服務二  ，各項配置說明請參考配置組一
[http-b]
type = http
local_port = 8686
subdomain = b
 
           
復制代碼

啟動 客戶端

在frp解壓目錄下右鍵打開 powershell 或者cmd，執行如下命令

 .\frpc.exe -c .\frpc.ini
復制代碼

如果窗口提示 『start proxy success』 ，則代表frp服務端和frp客戶端的通信隧道建立成功

測試訪問

在瀏覽器里面訪問 http://a.dev.msh.com、測試本地的web服務是否已經暴露給外網

六、問題解疑

疑問： 為什么要搭建自己的內網穿透服務，而不是購買類似花生殼這種收費的內網穿透服務？

解疑： 花生殼收費過高，一個旗艦版的一年都需要868元，而且只有4個端口映射，意味着只有4名開發人員同時用都可能不夠。一個中型的互聯網公司都有四五十人或者上百人，如果用花生殼的話，每年都需要三四萬花費，顯然不是個小數目。而對於一家互聯網公司，都是有自己的服務器資源和域名資源的，既然如此，何不搭建一個自有的內網穿透服務？

疑問：微信小程序只支持https協議,而剛搭建的是http內網穿透，不適用怎么辦？

解疑： 可以在微信Web開發者工具里面找到項目設置，把 『不校驗合法域名、業務域名、TLS版本以及HTTPS證書』 項勾選即可。這樣就可以在生產環境下走https協議，本地開發環境下走http協議

關於生產環境下怎么部署https，請參考本人在掘金上的這篇文章全站HTTPS升級系列

另外關於本地開發環境下怎么部署https，曾經嘗試過mkcert、jdk的keystore ,然而最終沒有找打一個切實可行的方案

疑問：我搭建的內網穿透服務，怎么限定只有內部成員可用，防止外人隨意『搭便車』？

解疑： 可以基於token參數來完成身份驗證。服務端和客戶端的 common 配置中的 token 參數一致則身份驗證通過。

作者：msh01
鏈接：https://juejin.cn/post/6844903766701899784
來源：稀土掘金
著作權歸作者所有。商業轉載請聯系作者獲得授權，非商業轉載請注明出處。