实测可用:nginx代理frp实现80、443端口二级泛域名内网穿透服务

frp是一款十分厉害和方便的内网穿透软件，开源、高性能，支持 TCP、UDP、HTTP、HTTPS 协议代理，支持ssh穿透，http、https穿透、tcp、unix域套接字穿透等等。

典型的使用场景是：

服务端frps在公网服务器配置，客户端frpc在内网主机上配置。暴露任意frpc客户端上的端口，到服务器端frps，通过直接访问frps对应端口，转而实际访问内网主机的相关端口服务。

1、frp的配置方式网上见到的有2种，ini和toml文件。

ini格式的配置，应该是从0.52版以后就被弃用了。新功能也只在toml格式的配置文件支持。所以，最后推荐toml格式的配置文件。

服务端启动命令：frps.exe -c xxx.ini

客户端启动命令：frpc.exe -c xxx.ini

2、之前我一直在简单使用带端口的http代理穿透的场景：

frps配置（ini配置）：

[common]
server_addr = x.x.x.x
server_port = 7000
vhost_http_port = 8080
# 身份验证方式，设置为token，默认是token，可以不配置此项
authentication_method = token 
# 自定义的token值，客户端需要配置相同的token才能连接
token = your_token_value 

frpc配置（ini配置）

[common]
admin_addr = x.x.x.x
admin_port = 7000  # 与frps的server_port保持一致
# 身份验证方式，设置为token，默认是token，可以不配置此项
authentication_method = token 
# 自定义的token值，客户端需要配置相同的token才能连接（与frps的配置保持一致）
token = your_token_value 

[web]
type = http
local_port = 1234  # 本地http服务的监听端口
custom_domains = test.yourdomain.com
http_user = abc  # 用于：HTTP Basec Auth访问验证，临时暴露此端口服务的，可以去掉
http_pwd = abc  # 用于：HTTP Basec Auth访问验证，临时暴露此端口服务的，可以去掉

最近，测试环境改变，需求场景也改变了，变成：

对于内网客户端的80、443端口，使用典型的http、https内网二级泛域名的穿透

我查了查资料，测试了一下，配置好自己可用的。

基本配置中，也从ini变成了toml，frp版本也使用了0.61+版本，对外反向代理使用的是nginx。具体操作如下：

1、配置frps和frpc，如下：

服务端frps（toml）：

bindPort = 7000 # 防火墙开启此端口，frpc客户端连接使用

auth.method = "token"
auth.token = "xxxxxxx"

webServer.addr = "127.0.0.1"  # 限制frp自带的dash服务为本机访问
webServer.port = 7001   # frp自带的dash服务端口，防火墙不必开启此端口
webServer.user = "admin"
webServer.password = "xxxxx"

vhostHTTPPort = 7002  # frps的http监听端口，防火墙不必开启此端口，用于nginx反向代理使用

log.to = "console"  # 日志：显示到 console，方便查看状态，可以配置到文件
log.level = "info"
log.maxDays = 3
log.disablePrintColor = false

客户端frpc（toml）配置

	serverAddr="x.x.x.x"  # 服务端frps的ip地址
	serverPort=7000
	
	auth.method = "token"
	auth.token = "xxxxxxx"  # 与服务端frps配置的一致
	
	[[proxies]]
	name = "web2host"  # 随便起个标识
	type="http"
	localIp="0.0.0.0"  # 对外提供所有
	localPort=8080  #本地http服务的监听端口
  # *.go.yourdomain.com 下搞一个已解析或者hosts绑定的二级域名的子域名
	customDomains=["s2.go.yourdomain.com"]  

nginx的配置：

server {
	listen       80;
	listen 443 ssl http2;
	keepalive_timeout 70;
	server_name  *.go.yourdomain.com;
	
  # 日志配置
	access_log  "./access_go.yourdomain.com.log";
	# root 

  # 需要https的话，就配置一下证书
	ssl_certificate  ./fullchain.pem;
	ssl_certificate_key ./privkey.pem;
	ssl_session_cache shared:SSL:10m;
	ssl_session_timeout 5m;
	ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
	ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
	ssl_prefer_server_ciphers on;

	location / {
		proxy_pass http://127.0.0.1:7002;  # 与frps的vhostHTTPPort配置一致
		index index.html index.htm;
		
		proxy_set_header Host $host;
		proxy_set_header X-Real-IP $remote_addr;
		proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
		proxy_set_header X-Forwarded-Proto $scheme;
		
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "upgrade";
        
		proxy_redirect http://$host/ http://$http_host/;
		
	}
}

当然一看就知道，proxy_redirect http://$host/ http://$http_host/;

这一句是一定要配置的，其他的都是常规配置。

之后就可以通过：
http://s2.go.yourdomain.com 和
https://s2.go.yourdomain.com 愉快的访问，在frpc客户端的8080端口服务了。

我选择二级泛域名，主要是考虑防止域名管理混乱，也可以直接搞一个主域名啥的，这就是nginx的常规设置了。

用于开发测试，产品展示还是又简单又实用。果然，frp确实好用啊。