frp + nginx 配置多人共用的http 內網穿透服務

HTTP Nginx · 發表 2019-01-24 14:10:47

摘要： frp 是一個用Go 語言開發的，可用於內網穿透的高效能的反向代理應用，支援 tcp, udp 、 http 和 https。可將一個部署在本機的web服務對映到外網。本文主要講如何基於frp +nginx 配置http 內網穿透服務，承...

frp 是一個用Go 語言開發的，可用於內網穿透 的高效能的反向代理應用，支援 tcp, udp 、 http 和 https。可將一個部署在本機的web服務對映到外網。

本文主要講如何基於frp +nginx 配置http 內網穿透服務，承載多人同時使用，從而支援微信公眾號，微信小程式的本地開發除錯

所需資源：

msh.com

本文涉及的環境

centos7.2
nginx 1.10.1
frp 0.22.0
go 1.11.4
Windows 10

二、 frp 原理

（請仔細閱讀原理，在不理解原理的情況下上手配置容易出錯，且很難定位原因。這都是本人所經歷的慘痛教訓）

以本人搭建的frp 內網穿透服務為例：第一步： 配置無誤的情況下，frp服務端和frp客戶端先後啟動，建立通訊隧道 ，其中：

frp服務端監聽http7071 埠（此埠可自定義），接收此埠下 所有外網使用者請求
frp客戶端代理本地想要暴露給外網的web服務埠，本文以8585 ,8686 埠為例

第二步：通過配置nginx 反向代理，將指向本臺公網伺服器的dev.msh.com 下的子域名，對映到伺服器的7071 埠，也就是frp監聽的那個埠。外網使用者訪問dev.msh.com 下的子域名，例如：

a.dev.msh.com
b.dev.msh.com

等同於訪問msh.com：7071 ，會觸發 frp服務端和客戶端的互動，從而http請求由frp服務端傳遞到frp客戶端

第三步：frp客戶端收到http請求後，基於自定義配置，則做如下處理：

監聽到http請求中的域名為a.dev.msh.com ，則將請求轉發到我本地的8585 web服務埠
監聽到http請求中的域名為b.dev.msh.com ，則將請求轉發到我本地的8686 web服務埠

第四步：本地的web服務收到http請求後，對請求做處理，並完成響應

第五步：frp客戶端將響應結果回傳給frp的服務端。服務端最終將響應回傳給外網使用者

第六步：最終的實測效果為：

訪問a.dev.msh.com ，等同於訪問我本地的localhost:8585
訪問b.dev.msh.com ，等同於訪問我本地的localhost:8686

三、準備工作

3.1 在域名解析後臺配置子域名

本文以msh.com 為例：

msh.com 下增加兩條A記錄：dev ,*.dev ,記錄值為部署frp服務端的公網伺服器的ip。

代表dev.msh.com 下的所有的子域名，會全部指向此臺公網伺服器。

3.2服務端配置go語言環境

翻牆下載&解壓安裝

frp 基於Go 語言進行開發和執行，所以在服務端配置Go 語言環境

可能是因為Go 語言是谷歌家開發的，所以連帶go的官網https://golang.org/ 都被牆了（天殺的**），意味著無法通過wget 命令進行安裝。所以只有翻牆後，把下載好的軟體包上傳到伺服器上面

軟體包我已經上傳到百度雲上了，使用者可以在百度雲上面下載

go1.11.4.linux-amd64.tar.gz 百度雲下載地址

# 解壓
tar -zxvf go1.11.4.linux-amd64.tar.gz 
# 移動到自定義的軟體安裝目錄
mv go /software/

複製程式碼

配置環境變數

# 用 vim開啟 /etc/profile
vim /etc/profile

# 在裡面加入環境變數
export GO_HOME=/software/go
export PATH=$PATH:$GO_HOME/bin

# 使環境變數生效
source /etc/profile

# 檢視是否安裝成功
goversion
複製程式碼

四、服務端配置

4.1 frp服務端安裝配置

下載解壓

# 下載
wget https://github.com/fatedier/frp/releases/download/v0.22.0/frp_0.22.0_linux_amd64.tar.gz
# 解壓
 tar -zxvf frp_0.22.0_linux_amd64.tar.gz 
 
複製程式碼

修改配置檔案

解壓後進入解壓目錄，找到frps.ini 檔案, 做如下配置。配置說明請參見各項對應的註釋

[common]
# frp監聽的埠，用作服務端和客戶端通訊
bind_port = 7000

# 服務端通過此埠接監聽和接收公網使用者的http請求
vhost_http_port = 7071

# frp提供了一個控制檯，可以通過這個埠訪問到控制檯。可檢視frp當前有多少代理連線以及對應的狀態
dashboard_port = 7500


# 服務端的subdomain_host需要和客戶端配置檔案中的subdomain、local_port配合使用，
# 可通過{subdomain}.{subdomain_host} 的域名格式來訪問自己本地的 web 服務。
# 假如服務端的subdomain_host為dev.msh.com，客戶端某個配置組中的
# subdomain為a,local_port為8585，
# 則：
# 訪問 a.dev.msh.com ，等同於訪問本地的localhost:8585

subdomain_host = dev.msh.com

複製程式碼

啟動frp服務端

./frps -c frps.ini
複製程式碼

4.2 nginx反向代理配置

修改nginx.conf 檔案

# frp的接收http請求的反向代理
server {
listen 80;
server_name *.dev.msh.comdev.msh.com;

location / {
# 7071埠即為frp監聽的http埠
proxy_pass http://127.0.0.1:7071; 
proxy_set_header Host $host:80;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";

proxy_connect_timeout 7d;
proxy_send_timeout 7d;
proxy_read_timeout 7d;

}
# 防止爬蟲抓取
if ($http_user_agent ~* "360Spider|JikeSpider|Spider|spider|bot|Bot|2345Explorer|curl|wget|webZIP|qihoobot|Baiduspider|Googlebot|Googlebot-Mobile|Googlebot-Image|Mediapartners-Google|Adsbot-Google|Feedfetcher-Google|Yahoo! Slurp|Yahoo! Slurp China|YoudaoBot|Sosospider|Sogou spider|Sogou web spider|MSNBot|ia_archiver|Tomato Bot|NSPlayer|bingbot")
{
return 403;
}
}
複製程式碼

讓nginx重新載入配置檔案

/usr/local/nginx/sbin/nginx-s reload
複製程式碼

4.3 開啟防火牆埠

# 開啟防火牆埠7000埠和7071埠即為上面配置的bind_port和vhost_http_port埠
firewall-cmd --zone=public --add-port=7000/tcp --permanent
firewall-cmd --zone=public --add-port=7071/tcp --permanent

# 開啟後重啟防火牆，使得剛剛的修改生效
firewall-cmd --reload
複製程式碼

五、客戶端安裝配置

下載客戶端

去github上面下載最新版的 windows客戶端github.com/fatedier/fr… ，找到frp_0.23.1_windows_amd64.zip ，點選下載即可

（Mac使用者請下載Mac版本的客戶端）

解壓後，編輯 frpc.ini 檔案

[common]
# 部署frp服務端的公網伺服器的ip
server_addr = 132.232.64.79
# 和服務端的bind_port保持一致
server_port = 7000


# 代理服務一 ，[]內的代理服務名稱在全域性範圍內確保唯一，每個人的每個代理服務不能重名，
# 否則會影響正常使用。
 [http-a]
type = http
# local_port代表你想要暴露給外網的本地web服務埠
local_port = 8585
# subdomain 在全域性範圍內要確保唯一，每個代理服務的subdomain不能重名，否則會影響正常使用。
# 客戶端的subdomain需和服務端的subdomain_host配合使用
subdomain = a


# 代理服務二，各項配置說明請參考配置組一
[http-b]
type = http
local_port = 8686
subdomain = b
 

複製程式碼

啟動客戶端在frp解壓目錄下右鍵開啟powershell 或者cmd ，

./frpc.exe -c .\frpc.ini
複製程式碼

如果視窗提示**『start proxy success』**，則代表frp服務端和frp客戶端的通訊隧道 建立成功

測試訪問

在瀏覽器裡面訪問http://a.dev.msh.com 、測試本地的web服務是否已經暴露給外網

六、問題解疑

疑問：為什麼要搭建自己的內網穿透服務，而不是購買類似花生殼這種收費的內網穿透服務？

解疑：花生殼收費過高，一個旗艦版的一年都需要868元，而且只有4個埠對映，意味著只有4名開發人員同時用都可能不夠。一箇中型的網際網路公司都有四五十人或者上百人，如果用花生殼的話，每年都需要三四萬花費，顯然不是個小數目。而對於一家網際網路公司，都是有自己的伺服器資源和域名資源的，既然如此，何不搭建一個自有的內網穿透服務？

疑問：微信小程式只支援https協議,而剛搭建的是http內網穿透，不適用怎麼辦？**解疑：**可以在微信Web開發者工具裡面找到專案設定，把『不校驗合法域名、業務域名、TLS版本以及HTTPS證書』項勾選即可。這樣就可以在生產環境下走https 協議，本地開發環境下走http 協議

關於生產環境下怎麼部署https ，請參考本人在掘金上的這篇文章全站HTTPS升級系列

另外關於本地開發環境下怎麼部署https，曾經嘗試過mkcert 、jdk的keystore ,然而最終沒有找打一個切實可行的方案

疑問：我搭建的內網穿透服務，怎麼限定只有內部成員可用，防止外人隨意『搭便車』？

解疑：可以基於token引數來完成身份驗證。服務端和客戶端的 common 配置中的 token 引數一致則身份驗證通過。