一、架构拓扑
[内网主机] <-TCP隧道-> [公网中继服务器] <-公网访问-> [终端用户]
│ │
└─ 本地服务(SSH/Web/DB) └─ 端口映射(8022/8080/3306)
二、服务端配置 (frps.ini)
[common] bind_port = 8000 # 控制通道端口(建议>1024) token = 7g$2Fk!9P@zL*vQ # AES-256加密传输密钥 max_pool_count = 100 # 最大连接池容量 log_level = info # 日志级别(debug/info/warn/error) log_max_days = 7 # 日志保留周期
部署规范:
- 密钥管理:使用
openssl rand -base64 32生成高强度token - 端口规划:非测试环境避免使用知名端口(80/443/22)
- 权限隔离:建议创建专用系统用户运行
chown -R frpuser:frpgroup /opt/frp
三、客户端配置 (frpc.ini)
[common] server_addr = 203.0.113.5 # 服务端公网IP/Domain server_port = 8000 token = 7g$2Fk!9P@zL*vQ # 与服务端严格一致 [ssh_tunnel] # 服务标识(业务命名规范) type = tcp local_ip = 127.0.0.1 # 绑定本地地址 local_port = 22 # 本地服务端口 remote_port = 22002 # 外网暴露端口(NAT穿透) [web_console] # HTTP服务示例 type = http # 应用层协议类型 local_port = 8080 custom_domains = console.xxx.com # 需配置DNS解析
配置原则:
- 端口映射策略:采用端口偏移方案(如基础端口 20000 + 服务ID)
- 协议选择矩阵:
| 服务类型 | 适用协议 | 优势 |
|---|---|---|
| SSH/RDP | TCP | 全双工通信 |
| Web服务 | HTTP | 支持虚拟主机/SSL卸载 |
| 数据库 | TCP | 保持长连接特性 |
四、Systemd 服务管理
服务端单元文件 (/usr/lib/systemd/system/frps.service)
[Unit]
Description=fraps service
After=network.target network-online.target syslog.target
Wants=network.target network-online.target
[Service]
Type=simple
#启动服务的命令(此处写你的frps的实际安装目录)
ExecStart=/bin/bash -c '/var/local/frps/frps -c /var/local/frs/frps.ini'
[Install]
WantedBy=multi-user.target
客户端守护进程优化:
# 内存限制(防止内存泄漏) sudo systemctl set-property frpc.service MemoryMax=512M # CPU亲和性(多核服务器) sudo systemctl set-property frpc.service CPUAffinity=0-1
五、运维监控
关键指标采集:
# 连接状态检查 frpc status -c frpc.ini --json | jq '.status.stats' # 性能监控命令 sudo ss -tunp | grep frp sudo lsof -i :8000
ELK日志集成方案:
# Filebeat 配置片段 - module: frp log: input: paths: - /var/log/frp/*.log process: pipeline: "frp_pipeline"
六、安全加固清单
- 传输层加密:启用
tls_enable = true - 端口访问策略:iptables 限制源IP范围
- 审计日志:记录客户端认证事件
- 熔断机制:配置
max_ports_per_client防端口耗尽攻击