cpolar(极点云): 一款主流的内网穿透工具

目录

1.简介

2.各平台安装步骤

2.1.windows安装

[2.2.Linux 一键安装（Ubuntu/CentOS/Debian/ 树莓派）](#2.2.Linux 一键安装（Ubuntu/CentOS/Debian/ 树莓派）)

[2.3.macOS 安装](#2.3.macOS 安装)

3.快速上手

3.1.注册下载

3.2.安装并认证

3.3.一键穿透（命令行）

[4.后台运行 & 开机自启](#4.后台运行 & 开机自启)

5.cpolar的底层原理

5.1.核心角色（三层架构）

5.2.为什么能穿透内网？

5.3.完整底层通信流程

5.4.两种隧道的底层区别

5.5.底层长连接与保活机制

5.6.安全底层实现

5.7.免费域名随机的原理

---

1.简介

Cpolar （极点云）是一款主流的内网穿透工具，能把你本地（内网）的服务（如网站、SSH、远程桌面）安全映射到公网，让外网设备直接访问。

核心功能:

• 多协议：HTTP/HTTPS/TCP/FTP 等

• 全平台：Windows/macOS/Linux/ 树莓派 / Docker

• Web 管理面板 ：http://localhost:9200

• 免费版：随机域名、流量限制

• 付费版：固定二级域名、自定义域名、更高带宽

2.各平台安装步骤

官方文档介绍：https://www.cpolar.com/docs

2.1.windows安装

• 下载：https://static.cpolar.com/downloads/releases/cpolar-latest-windows-amd64.zip
• 解压到任意目录（如 D:\cpolar）
• 以管理员身份打开 CMD/PowerShell，进入解压目录

cd D:\cpolar

2.2.Linux 一键安装（Ubuntu/CentOS/Debian/ 树莓派）

curl -L https://www.cpolar.com/static/downloads/install-release-cpolar.sh | sudo bash

2.3.macOS 安装

brew install cpolar

无 Homebrew 则手动下载解压，添加到环境变量即可。

3.快速上手

3.1.注册下载

官网：https://www.cpolar.com/

3.2.安装并认证

cpolar authtoken 你的AuthToken

3.3.一键穿透（命令行）

1.网页 / HTTP 穿透（80/8080/3000 等）

# 穿透本地80端口
cpolar http 80

# 穿透本地8080端口
cpolar http 8080

执行后会得到公网地址：https://xxx.cpolar.io

2.TCP 穿透（SSH / 远程桌面）

# SSH 穿透（默认22端口）
cpolar tcp 22

# Windows远程桌面（3389）
cpolar tcp 3389

得到公网 IP + 端口，外网直接连接。

3.查看在线隧道

浏览器打开：http://127.0.0.1:9200登录账号即可管理。

4.后台运行 & 开机自启

Linux/macOS 后台运行

nohup cpolar start-all &

Linux 开机自启（推荐）

sudo systemctl enable cpolar
sudo systemctl start cpolar
sudo systemctl status cpolar

Windows 开机自启

cpolar service install
cpolar service start

服务会随系统自动启动。

5.cpolar的底层原理

Cpolar 的底层核心是基于 ngrok 开源架构二次开发的「反向代理 + 公网中继 + 长连接穿透」，本质是用一台有公网 IP 的服务器做中转，解决内网设备被 NAT / 防火墙隔离、无法被外网主动访问的问题。

5.1.核心角色（三层架构）

• cpolar 客户端 ：运行在内网机器上，负责主动向外发起连接
• cpolar 云端服务器 ：公网固定 IP，负责接收外网流量 + 转发给客户端
• 外网访问者：浏览器、SSH 客户端等，只和云端打交道

5.2.为什么能穿透内网？

普通端口映射：外网 → 想连内网 → 被 NAT / 防火墙拦截 → 失败

cpolar 反过来：内网客户端 → 主动发起长连接 → 连接公网云端

防火墙 / 路由器对 "出站连接" 基本都放行，这条连接一旦建立，就变成一条双向数据通道。

云端只要收到外网请求，就沿着这条已经建好的通道，把流量 "塞回" 内网。

5.3.完整底层通信流程

1.客户端启动与鉴权

• 客户端读取 cpolar.yml 或命令行参数
• 使用你的 authtoken 与云端建立控制通道（TCP 长连接）
• 客户端向云端上报：
  • 我要映射的协议：http /tcp
  • 本地端口：8080 / 22 / 3389
  • 域名偏好（固定 / 随机）

2.云端分配公网入口

云端收到请求后：

• 为你分配一个公网域名（如 xxx.cpolar.cn）
• 或分配一个公网端口（TCP 模式）
• 把这个公网入口 ↔ 客户端长连接做绑定记录

3.外网访问时的流量转发

1. 用户访问 https://xxx.cpolar.cn
2. DNS 解析到 cpolar 云端服务器
3. 云端根据域名 / 端口，找到对应的客户端长连接
4. 云端把请求数据包，通过这条长连接发给内网 cpolar 客户端
5. 客户端把数据包转发给本地服务（127.0.0.1:8080）
6. 本地服务返回响应 → 客户端 → 云端 → 外网用户

整个过程是双向透明转发，对访问者无感。

5.4.两种隧道的底层区别

1.HTTP/HTTPS 隧道（应用层 7 层代理）

• 云端会解析 HTTP 协议，读取 Host 头
• 多个隧道可以共用 80/443 端口
• 支持子域名区分、HTTPS 证书卸载
• 底层是：云端 HTTP 路由 → 控制通道转发 → 本地 HTTP 服务

2.TCP 隧道（传输层 4 层代理）

• 不解析任何应用层协议，只做端口流转发
• 云端必须给你分配一个独立公网端口
• 适用于 SSH (22)、RDP (3389)、MySQL、游戏等
• 底层是：纯 TCP 流透传

5.5.底层长连接与保活机制

• 客户端与云端之间维持一条持久 TCP 控制连接
• 定时发送心跳包，防止 NAT 会话老化断开
• 数据传输可以复用控制通道，也可新建临时数据连接
• 断线自动重连，保证隧道稳定

5.6.安全底层实现

• **authtoken 鉴权：**只有持有合法 token 的客户端才能注册隧道，防止恶意接入。
• **传输加密：**客户端 ↔ 云端之间使用 TLS / 加密通道传输，防止流量被窃听。
• **HTTPS 隧道：**云端可提供免费证书，外网访问是 HTTPS 加密。

5.7.免费域名随机的原理

• 免费版：客户端每次重连，云端动态分配新子域名
• 付费固定域名：云端将域名与你的账号 / 设备绑定，DNS 永久指向你的连接