frp 内网穿透安全吗?公网暴露前必须做的 7 个检查
frp 内网穿透安全吗?公网暴露前必须做的 7 个检查
frp 最大的优点是方便,最大的风险也是方便。把 NAS、开发机或后台面板映射到公网前,如果 token、面板密码、端口范围和二次鉴权没处理好,很容易把内网服务送到扫描器面前。
适合场景和不适合场景
适合:
- 临时演示本地服务
- Webhook 回调测试
- 远程访问家中 NAS 的少量入口
不适合:
- 长期裸露 NAS 管理后台
- 无鉴权数据库端口转发
- 大量用户访问的生产服务
这一步要先讲清楚,是因为很多服务器教程只告诉你“怎么装”,却不告诉你“该不该装”。如果场景不匹配,后面配置写得再漂亮,也只是把问题推迟到上线之后。
配置和成本怎么取舍
frps 服务端 1 核 2G 就够转发少量服务。真正要花心思的是权限边界:token 足够长、管理面板强密码、远程端口最小化、目标服务再加一层登录。
我会把 frp 内网穿透 放在雨云服务器 rainyun-com的 1 核 2G 机型上,转发几个管理面板、Webhook 和测试服务完全够用。注册填优惠码2026off领 5折,这类配置更适合先稳定跑起来,再按真实负载升级。
准备工作
- 准备一台干净的 Ubuntu 22.04 或 Debian 12 服务器,先确认 SSH、时间同步和防火墙状态。
- 规划目录:
/opt/frp-security-checklist-20260601。配置、数据、备份脚本都放在同一主题目录下,后面迁移更省事。 - 根据主题放行端口:
7000/tcp。游戏和网络服务尤其要分清 TCP/UDP。 - 先用测试数据跑通,再导入正式数据或邀请其他人使用。
核心配置
下面配置用于说明关键项,发布前要按当前官方文档确认镜像版本、环境变量和端口。
services:frps:image:snowdreamtech/frps:latestcontainer_name:frpsrestart:unless-stoppedports:-"7000:7000"-"7500:7500"volumes:-./frps.toml:/etc/frp/frps.toml:ro如果需要 HTTPS,可以让应用只监听本机端口,再用 Caddy 反代:
frpsecuritychecklist.example.com { encode zstd gzip reverse_proxy 127.0.0.1:7000 }怎么确认真的可用
从公网扫描自己开放的端口,确认只有计划中的端口;用错误 token 连接 frpc,确认会被拒绝。
验证时不要只看进程是否存在,至少完成一次真实动作:游戏服要让外部玩家连接,应用要登录并写入一条数据,运维项要确认状态变化真的生效。这样能提前发现端口、权限、反代和路径问题。
踩坑清单
不要把 frps 面板默认暴露给全网。至少设置强密码,最好加 Caddy basic auth 或只允许固定 IP 访问。
排查建议按这个顺序来:
- 看日志里第一条明确错误,不要只看最后一屏。
- 查端口监听和云安全组,确认协议没有写错。
- 检查数据目录权限,尤其是容器用户和宿主机目录映射。
- 回滚到上一个能工作的配置,再逐项恢复新改动。
备份、升级和迁移
备份 frps.toml 和 frpc.toml,但不要把 token 提交到公开仓库。
维护时建议保留一份“最小恢复说明”:需要哪些文件、恢复命令是什么、域名和端口在哪里改。等真正出问题时,人通常没那么冷静,清单比记忆可靠。