系统运维 / 操作系统

FRP内网穿透搭建和使用

温馨提示:本文最后更新于2021-03-02 18:54:37,某些文章具有时效性,若有错误或已失效,请在下方留言或提交工单提交工单
浅时光 · 10月25日 · 2020年 本文4487个字,预计阅读12分钟 44286次已读

一、环境介绍

通过外网访问公司内网的办公电脑,实现可以通过远程桌面直接访问

  • 环境描述:
    • FRP服务端:Linux-CentOS 7(作为跳板,然后映射3389远程桌面端口)
    • FRP客户端:则是自己外网下的个人PC
  • FRP项目地址:https://github.com/fatedier/frp/releases
  • 注意:前提是中转机FRP服务端所在的机器能通过公网的机器ping通

二、安装FRP服务端

image 74
[root@frp-server ~]# wget https://github.com/fatedier/frp/releases/download/v0.30.0/frp_0.30.0_linux_amd64.tar.gz

[root@frp-server ~]# tar -xf frp_0.30.0_linux_amd64.tar_2.gz -C /usr/local/
[root@frp-server ~]# cd /usr/local/
[root@frp-server local]# mv frp_0.30.0_linux_amd64/ frp
image 75

三、FRP配置

3.1:配置FRP服务端

  • 配置 FRP 服务端的前提条件是需要一台具有公网 IP 的设备,得益于 FRP 是 Go 语言开发的,具有良好的跨平台特性。你可以在 Windows、Linux、MacOS、ARM等几乎任何可联网设备上部署。
  • 这里以 Linux 为例,FRP 默认给出两个服务端配置文件,一个是简版的 frps.ini,另一个是完整版本 frps_full.ini
[root@frp-server local]# cd frp/
[root@frp-server frp]# vim frps.ini
[common]
bind_port = 7000
  • 其中bind_port指frp服务端监听的端口号,frp客户端将通过这一端口进行连接,这里我们可以按需设置,建议修改

3.2:启动FRP服务端

[root@frp-server frp]# nohup ./frps -c ./frps.ini >/dev/null 2>&1 &
  • 防火墙放通7000端口
[root@frp-server frp]# firewall-cmd --permanent --zone=public --add-port=7000/tcp
[root@frp-server frp]# firewall-cmd --reload
success
  • 通过systemd管理
[root@nps-server frp]# vim /etc/systemd/system/frps.service
[Unit]
Description=frps daemon
After=syslog.target  network.target
Wants=network.target

[Service]
Type=simple
ExecStart=/usr/local/frp/frps -c /usr/local/frp/frps.ini
Restart= always
RestartSec=1min

[Install]
WantedBy=multi-user.target

[root@nps-server frp]# systemctl daemon-reload
[root@nps-server frp]# systemctl start frps.service
[root@nps-server frp]# systemctl enable frps.service
  • 注意ExecStart中要配置成自己的路径.
  • 然后使用systemctl start frps即可启动frps, 用systemctl enable frps即可将frps设置为开机启动。

3.3:配置FRP客户端

  • 和 FRP 服务端类似,FRP 默认也给出两个客户端配置文件,一个是简版的frpc.ini,另一个是完整版本frps_full.ini
[root@frp-server frp]# vim frpc.ini
[common]
server_addr = 58.242x.x		//frp服务端外网IP地址
server_port = 7000			//为FRP服务端监听的端口

[ssh]
type = tcp 
local_ip = 127.0.0.1
local_port = 22
remote_port = 6000
  • 注意:local_portremote_port,前者的设置根据我们的具体需求,比如笔者的需求是在外网访问内网电脑的远程桌面,那么我们就设为远程桌面的3389原文链接:https://www.dqzboy.com端口;后者则可以自定义,比如我们设为1234,那么我们访问frps服务端外网IP:1234的时候,就会被转发至frps客户端的3389端口。

3.4:启动FRP客户端

[root@frp-server frp]# nohub ./frpc -c ./frpc.ini >dev/null 2>&1 &
image 76
image 77
  • 放通端口
[root@frp-server frp]# firewall-cmd --permanent --zone=public --add-port=6000/tcp
success
[root@frp-server frp]# firewall-cmd --permanent --zone=public --add-port=1234/tcp
success
[root@frp-server frp]# firewall-cmd --reload
success
  • 访问测试
[root@localhost ~]# ssh dqz@192.168.66.33 -p 6000
image 78
连接成功

四、FRP 高级进阶

4.1:添加dashboard配置

  • 给FRP添加dashboard,修改配置文件
[root@frp-server ~]# vim /usr/local/frp/frps.ini
# 指定 Dashboard 的监听的 IP 地址
dashboard_addr = 0.0.0.0

# 指定 Dashboard 的监听的端口
dashboard_port = 7500

# 指定访问 Dashboard 的用户名
dashboard_user = admin

# 指定访问 Dashboard 的密码
dashboard_pwd = admin
image 79
  • 放通7500端口
[root@frp-server ~]# firewall-cmd --permanent --zone=public --add-port=7500/tcp
success
[root@frp-server ~]# firewall-cmd --reload
success

4.2:重启fprs服务

[root@frp-server ~]# /usr/local/frp/frps -c /usr/local/frp/frps.ini &

4.3:浏览器访问

image 80
image 81

4.4:添加身份验证

  • 默认情况下只要知道 FRP 服务端开放的端口,任意 FRP 客户端都可以随意在服务端上注册端口映射,这样对于在公网上的 FRP 服务来说显然不太安全。FRP 提供了身份验证机制来提高 FRP 服务端的安全性。要启用这一特性也很简单,只需在 FRP 服务端和 FRP 客户端的 common 配置中启用 privil文章来源(Source):浅时光博客ege_token 参数就行。
[root@nps-server frp]# vim frps.ini
...
privilege_token = dqz123456
  • 启用这一特性后,只有 FRP 服务端和 FRP 客户端的 common 配置中的 privilege_token 参数一致身份验证才会通过,FRP 客户端才能成功在 FRP 服务端注册端口映射。否则就会注册失败
  • 需要注意的是 FRP 客户端所在机器和 FRP 服务端所在机器的时间相差不能超过 15 分钟,因为时间戳会被用于加密验证中,防止报文被劫持后被其他人利用。这个超时时间可以在配置文件中通过 authentication_timeout 这个参数来修改,单位为秒,默认值为 900,即 15 分钟。如果修改为 0,则 FRP 服务端将不对身份验证报文的时间戳进行超时校验。

4.5:加密与压缩

  • 如果公司内网防火墙对外网访问进行了流量识别与屏蔽,例如禁止了 SSH 协议等,可通过设置 u原文链接:https://www.dqzboy.comse_encryption = true,将 FRP 客户端 与 FRP 服务端之间的通信内容加密传输,将会有效防止流量被拦截。
  • 如果传输的报文长度原文链接:https://www.dqzboy.com较长,通过设置 use_compression = true 对传输内容进行压缩,可以有效减小 FRP 客户端 与 FRP 服务端之间的网络流量,来加快流量转发速度,但是会额外消耗一些 CPU 资源。
  • 这两个功能默认是不开启的,需要在 FRP 客户端配置文件中通过配置来为指定的代理启用加密与压缩的功能,压缩算法使用的是 snappy。
[root@nps-server frp]# vim frpc.ini

[ssh]
type = tcp
local_port = 22
remote_port = 6000
use_encryption = true
use_compression = true

五、配置远程访问内网PC

  • 获取windows客户端程序包,将下载下来的程序包安装在家里的PC机上;点击下载
  • 将程序包解压到自己电脑的磁盘的任意目录原文链接:https://www.dqzboy.com,这个目录下面创建.bat脚本需要用到

5.1:修改配置frpc.ini

image 82
[common]
server_addr = 58.242.xx.xx #FRP服务端的公网IP
server_port = 7000           #服务器监听的port,与frps.ini文件中配置的bind_port的值一致
privilege_token = dqz123456	#服务端配置的token

[rdp]				#远程桌面配置的名称
type = tcp
local_ip = 目标PC主机IP           
local_port = 3389            # 监听本地端口;当用户连接以下remote_port的7001端口时,会被转发到frp client的3389端口(远程桌面的默认端口)。 
remote_port = 7001           # 绑定远程端口;frpc 在与frps建立连接后,server会监听于此端口用于被用户连接。需要打开frp服务端的防火墙需要放通此端口

5.2:创建启动脚本

#创建个.bat文件,命名为frpstart.bat,添加如下内容

@echo off  
start  "C:\Windows\System32\cmd.exe"   
cd D:\frp_0.30.0_windows_amd64	//frpc存储路径
frpc -c frpc.ini
exit
  • 测试下脚本是否可以正常运行
image 83

5.3:注册为系统服务

sc create frp_client binPath= D:\frp_0.30.0_windows_amd64\frpstart.bat start= auto
image 84
  • 问题解决:以管理员身份去运行CMD
image 85
image 86

5.4:服务端防火墙放通端口

[root@frp-server ~]# firewall-cmd --permanent --zone=public --add-port=7001/tcp

5.5:查看WEB页面是否注册成功

  • 浏览器输入   服务端IP:dashboard端口
image 87

5.6:远程访问测试

  • 确认远程的办公机开启了远程桌面访问
image 88
image 89
  • 微软键+R—mstsc—服务端公网IP:7001(服务端IP:远程绑定的端口)
image 90
image 91
image 92
  • 输入你办公机的开机用户和密码即可登入成功
image 93



本文作者:浅时光
原文链接:https://www.dqzboy.com/2465.html
版权声明:知识共享署名-相同方式共享 4.0 国际 (CC BY-NC-SA 4.0)协议进行许可
转载时请以超链接形式标明文章原始出处和作者信息

相关文章

PowerDNS安装部署和使用实践

10月4日 · 2020年

自建私有网盘-DzzOffice

9月27日 · 2020年

Ceph文件系统—CephFS部署教程

8月2日 · 2020年

分布式任务系统Cronsun 安装部署

7月19日 · 2020年
0 条回应

必须 注册 为本站用户, 登录 后才可以发表评论!

    Copyright © 2019 - 2021 浅时光博客. All Rights Reserved.
    本站已稳定运行: | 耗时 0.311 秒 | 查询 21 次 | 内存 13.95 MB