用VPS服务器搭建frp内网穿透服务

为什么需要VPS+frp实现内网穿透

你可能遇到过这些场景：本地搭建的个人NAS想在外网随时访问文件，开发的测试服务要给异地客户演示，远程办公需要连接内网办公电脑。但本地网络没有公网IP，运营商也不提供固定公网服务。借助拥有公网IP的VPS服务器搭配frp（快速反向代理，一种实现内网穿透的工具），就能轻松实现内网穿透，让外网设备安全访问你的内网服务。

VPS服务器部署frp服务端步骤

准备工作

1. 一台拥有独立公网IP的VPS服务器，确保系统为Linux（如Ubuntu、CentOS），提前在VPS防火墙中开放7000端口（frp默认通信端口）及后续需要映射的服务端口（如6000、8080等）。
2. 前往frp官方仓库下载对应VPS系统架构的frp压缩包（如frp_0.51.3_linux_amd64.tar.gz）。

配置frp服务端

1. 在VPS上解压压缩包：

tar -zxvf frp_*.tar.gz

进入解压后的目录。
2. 编辑frps.ini配置文件，基础配置示例如下：

[common]
bind_port = 7000  # frp服务端监听的核心通信端口
token = XyZ@123Abc#456  # 客户端与服务端通信的密钥，需设置复杂字符串
dashboard_port = 7500  # 可选，frp管理面板端口
dashboard_user = frp_admin  # 面板登录用户名
dashboard_pwd = DshPwd@789  # 面板登录密码

3. 保存配置文件，确保token包含大小写字母、数字、特殊符号，避免弱口令被暴力破解。

启动服务并设置自启

1. 临时启动frp服务端测试：

./frps -c ./frps.ini

确认无报错后，设置为系统服务实现开机自启。
2. 以Ubuntu为例，创建systemd服务文件/etc/systemd/system/frps.service，内容如下：

[Unit]
Description=FRP Server Service
After=network.target

[Service]
Type=simple
User=frp_user  # 创建专用普通用户运行服务，避免root权限风险
ExecStart=/home/frp_user/frp/frps -c /home/frp_user/frp/frps.ini
Restart=on-failure

[Install]
WantedBy=multi-user.target

3. 执行命令完成自启配置：

systemctl daemon-reload && systemctl start frps && systemctl enable frps

本地设备部署frp客户端

下载并配置客户端

1. 本地设备（如Windows、Linux、NAS）下载对应架构的frp客户端压缩包，解压后编辑frpc.ini配置文件，示例如下：

[common]
server_addr = 你的VPS公网IP
server_port = 7000
token = XyZ@123Abc#456  # 必须与服务端token完全一致

# 示例1：映射本地SSH服务
[ssh_local]
type = tcp
local_ip = 127.0.0.1
local_port = 22
remote_port = 6000  # VPS上已开放的端口，用于映射本地SSH

# 示例2：映射本地NAS的Web服务
[nas_web]
type = tcp
local_ip = 192.168.3.100  # 本地NAS的内网IP
local_port = 5000
remote_port = 8080  # VPS上已开放的端口，用于访问NAS Web

2. 保存配置文件，根据本地系统启动客户端：Windows可通过命令行执行frpc.exe -c frpc.ini，Linux执行./frpc -c ./frpc.ini，NAS可添加开机自启任务。

测试验证

1. 测试SSH映射：在外网设备执行

ssh -p 6000 本地用户名@VPS公网IP

若能成功连接本地设备，说明映射生效。
2. 测试Web服务：在外网浏览器输入http://VPS公网IP:8080，若能打开NAS的Web界面，验证成功。此时VPS服务器已成功扮演内外网通信的中转角色，实现稳定的内网穿透。

安全防护核心要点

端口与密钥防护

攻击者通过端口扫描工具发现VPS开放的7000端口后，会立即尝试暴力破解token。若token设置为123456、admin这类弱口令，不出10分钟就会被攻破，攻击者可通过frp随意访问你的内网服务。因此token长度不低于16位，包含多种字符类型；同时VPS服务器防火墙仅开放必要端口，关闭未使用的端口。

权限与版本更新

frp服务端不要以root权限运行，创建专用普通用户执行服务，降低入侵后的权限风险；定期前往frp官方仓库更新版本，修复已知的安全漏洞，避免攻击者利用漏洞入侵VPS服务器进而渗透内网。

管理面板防护

若开启了frp管理面板，不要使用默认的7500端口，改为不常用的高位端口（如23456），且设置复杂的用户名和密码；同时在VPS服务器防火墙仅允许指定IP访问面板端口，避免被未授权扫描和访问。