热门标签
热门文章
- 1最新dataSophon1.1.2保姆级安装
- 2Ubuntu 24.04 Preview 版安装 libtinfo5
- 3Navicat mac 14天体验删除命令_navicat premium 14天试用
- 4MySQL的数据备份和恢复
- 5superset使用教程(2)_superset中文教程官网
- 6超强AI绘画Midjourney-关键词(示例)
- 7ADOP告诉您 2024年人工智能是什么?它的类型、趋势和未来?下篇
- 8前段json数据到后端接收_前端传入json 后端可以用@requestparm接受吗
- 9自己实现 SpringMVC 底层机制 系列之搭建 SpringMVC 底层机制开发环境和开发 WyxDispatcherServlet_如何将controller注入spring容器中
- 10rabbitmq_management_rabbitmq-management
当前位置: article > 正文
frp内网穿透https_frp ssl
作者:知新_RL | 2024-04-29 05:29:54
赞
踩
frp ssl
在公网服务器搭建frps(service),在内网本地机子搭建frpc(client),流量通过访问公网ip,经过frps服务端转发到fprc客户端,fprc再转发到本地web应用。
官方下载地址 https://github.com/fatedier/frp/releases
官方文档地址https://gofrp.org/docs/
服务端:frp_0.44.0_linux_amd64.tar.gz
客户端:frp_0.44.0_windows_amd64.zip
一、http
服务端frps(公网服务器)
这里我用虚拟机模拟了一台公网服务器:192.168.111.201
- # 解压
- tar -xzvf frp_0.44.0_linux_amd64.tar.gz
- cd frp_0.44.0_linux_amd64
- # 配置服务端
- vi frps.ini
配置 frps.ini
- [common]
- # frp服务端的端口,frp客户端需要连接这个端口握手
- bind_port = 7000
- # 公网服务端对外提供的http端口
- vhost_http_port=8080
启动服务端
./frps -c frps.ini后台启动运行服务端
nohup ./frps -c frps.ini >/dev/null 2>&1 &
客户端frpc(内网本地)
配置 frpc.ini
- [common]
- # frps服务端的ip和端口
- server_addr = 192.168.111.201
- server_port = 7000
-
- [web01]
- type = http
- # 本地web应用的ip和端口
- local_ip = 127.0.0.1
- local_port = 8080
- #公网服务器的ip或域名
- custom_domains = 192.168.111.201
到解压根目录启动客户端
frpc -c frpc.ini访问公网ip已经可以反向代理到本地web服务了。
以上就是一个简单的内网穿透 http 例子。
二、https
使用官方推荐的如下配置:
frps.ini
- [common]
- bind_port = 7000
- vhost_https_port = 443
frpc.ini
- [common]
- server_addr = 192.168.111.201
- server_port = 7000
-
- [plugin_https2https]
- type = https
- custom_domains = 192.168.111.201
- plugin = https2https
- plugin_local_addr = 127.0.0.1:8443
- #plugin_crt_path = ./server.crt
- #plugin_key_path = ./server.key
- plugin_host_header_rewrite = 127.0.0.1
- plugin_header_X-From-Where = frp
结果一直报如下错误,没找到解决办。
三、tcp实现https
研究了好久,才反应过来,http协议在应用层,tcp在传输层,且http是基于tcp的。
既然https失败了,直接转发tcp就是,把ssl放在本地web应用中就可以了,frp只做tcp流量转发。
frps.ini
- [common]
- bind_port = 7000
frpc.ini
- [common]
- server_addr = 192.168.111.201
- server_port = 7000
-
- [tcp]
- type = tcp
- # 本地web应用的ip和端口
- local_ip = 127.0.0.1
- local_port = 8443
- # 公网服务器提供给外网访问的端口
- remote_port = 443
四、安全加固
上面有2个不安全的地方:
1、frpc 和 frps 之间的身份验证不安全,默认为 token,这种方式存在被中间人攻击的威胁。
2、frpc 和 frps 之间的流量未加密,可以通过 TLS 协议加密,解决被中间人攻击的威胁。
frps.ini
- [common]
- #frps服务端监听的端口,frpc客户端要来连接。
- bind_port = 7000
- #密码设置复杂点,frps服务端密码和frpc客户端密码要一致。
- token = mm123456789
frpc.ini
- [common]
- # frps服务端的ip和端口
- server_addr = 192.168.111.201
- server_port = 7000
- #密码设置复杂点,frps服务端密码和frpc客户端密码要一致。
- token = mm123456789
-
- [tcp]
- type = tcp
- # 本地web应用的ip和端口
- local_ip = 127.0.0.1
- local_port = 8443
- # 公网服务器提供给外网访问的端口
- remote_port = 443
双向验证
双向验证即 frpc 和 frps 通过本地 ca 证书去验证对方的身份。理论上 frpc 和 frps 的 ca 证书可以不同,只要能验证对方身份即可。
frps.ini
- # frps.ini
- [common]
- #frps服务端监听的端口,frpc客户端要来连接。
- bind_port = 7000
- #密码设置复杂点,frps服务端密码和frpc客户端密码要一致。
- token = mm123456789
-
- tls_cert_file = ./server.crt
- tls_key_file = ./server.key
- tls_trusted_ca_file = ./ca.crt
frpc.ini
- # frpc.ini
- [common]
- # frps服务端的ip和端口
- server_addr = 192.168.111.201
- server_port = 7000
- #密码设置复杂点,frps服务端密码和frpc客户端密码要一致。
- token = mm123456789
-
- # frpc开启TLS加密功能
- tls_enable = true
- tls_cert_file = ./client.crt
- tls_key_file = ./client.key
- tls_trusted_ca_file = ./ca.crt
-
- [tcp]
- type = tcp
- # 本地web应用的ip和端口
- local_ip = 127.0.0.1
- local_port = 8443
- # 公网服务器提供给外网访问的端口
- remote_port = 443
-
生成SAN 证书
1、准备默认 my-openssl.cnf 配置文件于当前目录
- cat > my-openssl.cnf << EOF
- [ ca ]
- default_ca = CA_default
- [ CA_default ]
- x509_extensions = usr_cert
- [ req ]
- default_bits = 2048
- default_md = sha256
- default_keyfile = privkey.pem
- distinguished_name = req_distinguished_name
- attributes = req_attributes
- x509_extensions = v3_ca
- string_mask = utf8only
- [ req_distinguished_name ]
- [ req_attributes ]
- [ usr_cert ]
- basicConstraints = CA:FALSE
- nsComment = "OpenSSL Generated Certificate"
- subjectKeyIdentifier = hash
- authorityKeyIdentifier = keyid,issuer
- [ v3_ca ]
- subjectKeyIdentifier = hash
- authorityKeyIdentifier = keyid:always,issuer
- basicConstraints = CA:true
- EOF
2、生成默认CA
- openssl genrsa -out ca.key 2048
- openssl req -x509 -new -nodes -key ca.key -subj "/CN=example.ca.com" -days 3650 -out ca.crt
3、生成服务端证书
将 192.168.111.201 改成自己的服务端的ip
- openssl genrsa -out server.key 2048
-
- openssl req -new -sha256 -key server.key \
- -subj "/C=XX/ST=DEFAULT/L=DEFAULT/O=DEFAULT/CN=192.168.111.201" \
- -reqexts SAN \
- -config <(cat my-openssl.cnf <(printf "\n[SAN]\nsubjectAltName=DNS:localhost,IP:127.0.0.1,DNS:server.com,IP:192.168.111.201")) \
- -out server.csr
-
- openssl x509 -req -days 3650 -sha256 \
- -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial \
- -extfile <(printf "subjectAltName=DNS:localhost,IP:127.0.0.1,DNS:server.com,IP:192.168.111.201") \
- -out server.crt
4、生成客户端证书
使用 who 命令查询客户端的ip地址。我这里是192.168.111.1
将 192.168.111.1 改成自己的客户端的ip
- openssl genrsa -out client.key 2048
- openssl req -new -sha256 -key client.key \
- -subj "/C=XX/ST=DEFAULT/L=DEFAULT/O=DEFAULT/CN=192.168.111.1" \
- -reqexts SAN \
- -config <(cat my-openssl.cnf <(printf "\n[SAN]\nsubjectAltName=DNS:client.com,IP:192.168.111.1")) \
- -out client.csr
-
- openssl x509 -req -days 3650 -sha256 \
- -in client.csr -CA ca.crt -CAkey ca.key -CAcreateserial \
- -extfile <(printf "subjectAltName=DNS:client.com,IP:192.168.111.1") \
- -out client.crt
最终生成了10个文件。
server.crt、server.key、ca.crt 拷贝到 frp服务端解压目录下。
client.crt、client.key、ca.crt 拷贝到 frp客户端解压目录下。
声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/知新_RL/article/detail/506208
推荐阅读
相关标签
