FRP内网穿透需要注意的事情

安全性

  1. SSH设置好密钥后,一定要关闭密码登陆。现在暴力破解策略往往是先派小鸡端口扫描看看谁可以密码访问,如果可以,然后定点爆破就开始了。
  2. 不允许root登陆。
  3. FRP使用token验证。
  4. FRP服务端要输出配置文件,info等级就能显示访问ip了,作为ip封禁的依据。下面是我的服务端设置example:
powershell 复制代码
bindPort = 7000
auth.token = "xxx"
webServer.port = 7600
webServer.user = "xxx"
webServer.password = "xxx"
#日志记录等级,有trace, debug, info, warn, error
log.level = "info"
#日志保留时间
log.maxDays = 3
log.to = "/root/frp_0.54.0_linux_amd64/log/frps.log"

info模式输出/root/frp_0.54.0_linux_amd64/log/frps.log的打印结果

其他

  1. 要把隧道绑定在域名上面,而不是ip。一旦ip被封或者切换,远程主机就失联了。
  2. FRP同一个服务器开多端口穿透,只需要一个配置文件写就好,不要多开frps。下面是我Client端的设置:
powershell 复制代码
serverAddr = "x.xx.com"
serverPort = 7000
auth.token = "xxxxx" #似乎不能加特殊符号

[[proxies]]
name = "ssh1"
type = "tcp"
localIP = "127.0.0.1"
localPort = 22
remotePort = 3000

[[proxies]]
name = "vnc"
type = "tcp"
localIP = "127.0.0.1"
localPort = 6666
remotePort = 370
  1. 服务端注意运行定期脚本,解析frp的域名,然后解析得到的ip需要转发特定网口。
powershell 复制代码
#!/bin/bash

# 域名
DOMAIN_NAME="xx.xx.com"

# 使用dig命令解析域名获取IP地址
IP_ADDRESS=$(dig +short $DOMAIN_NAME | tail -n1)

if [ -z "$IP_ADDRESS" ]; then
    echo "无法解析域名: $DOMAIN_NAME"
    exit 1
fi

# WiFi接口名称,注意下面只是example接口名
WIFI_INTERFACE="wlx200db0362a21"

# 获取WiFi接口的默认网关
WIFI_GATEWAY=$(ip route show default | grep $WIFI_INTERFACE | awk '{print $3}')

# 构造预期的路由规则
EXPECTED_ROUTE="$IP_ADDRESS via $WIFI_GATEWAY dev $WIFI_INTERFACE"

# 检查是否已存在预期的路由规则
EXISTING_ROUTE=$(ip route show to match $IP_ADDRESS | grep $WIFI_INTERFACE)

if [[ "$EXISTING_ROUTE" == *"$EXPECTED_ROUTE"* ]]; then
    echo "路由规则已存在,无需更新: $EXPECTED_ROUTE"
else
    # 删除旧的路由规则(如果存在)
    sudo ip route del $IP_ADDRESS dev $WIFI_INTERFACE 2> /dev/null

    # 添加新的路由规则
    sudo ip route add $EXPECTED_ROUTE

    echo "路由更新完成: $EXPECTED_ROUTE"

    sudo systemctl restart frpc.service
fi
相关推荐
德迅--文琪1 小时前
筑牢主机安全最后一公里,德迅卫士构建全维度智能防护屏障
安全
+wacyltd大模型备案算法备案1 小时前
大模型评估测试题库怎么建?风险分类、测试样本的完整方法
人工智能·算法·安全·分类·大模型·大模型备案·大模型上线登记
志栋智能4 小时前
超自动化安全如何优化安全运营成本?
人工智能·安全·自动化
jieyucx5 小时前
【系统安全铁律】解密 Linux 权限三色数字密码:chmod 最小化赋权与生产环境避坑指南
linux·安全·系统安全·权限·chmod·777
xiaohaiAIgeo5 小时前
【2026年】生物安全实验室P2/P3通风系统设计要点与合规要求
安全·科普知识
HackTwoHub6 小时前
某单位 CMS 完整渗透链、SQL 注入→后台拿权→绕过宝塔 Waf 上线 shell
数据库·人工智能·sql·安全·网络安全·系统安全·安全架构
山东穆柯传感器6 小时前
车间安监验收不通过?安全地毯选对厂家一次达标
安全
Kyrie6786 小时前
OpenSSH 10.4 发布:后量子签名时代来临
安全
IVVi0jToe7 小时前
高效C++线程池设计与实现
java·c++·安全
MartinYeung57 小时前
实战测试 LLM 安全护栏:@martin_yeung/llm-up-guardrail 全面评测与避坑指南
安全