Linux下FRP内网穿透配置教程

本文深入解析了使用FRP实现Linux内网穿透的五大关键实践要点，直击新手高频踩坑场景：从服务端必须监听0.0.0.0而非127.0.0.1以确保外网可达，到客户端正确填写公网IP或域名、严格匹配token；从Web服务映射中vhost_http_port与custom_domains的协同配置，到systemd托管时路径、权限与工作目录的精准设置；最后强调FRP本质是稳定长连接代理，真正决定成败的是网络层的端口可达性、DNS解析和防火墙策略——掌握这些，才能绕过“connection refused”和超时陷阱，高效打通内外网访问链路。

FRP服务端必须监听公网IP或0.0.0.0，不能只绑127.0.0.1

很多用户启动 frps 后发现客户端连不上，日志里反复出现 connection refused 或超时，根本原因是服务端配置里写了 bind_addr = 127.0.0.1。内网穿透的前提是外网能访问到FRP服务端，所以它必须暴露在可路由的地址上。

实操建议：

• 检查 frps.ini 中的 bind_addr：留空或设为 0.0.0.0（默认行为），避免硬写 127.0.0.1
• 确认云服务器安全组/防火墙放行了 bind_port（默认7000）和你后续配的自定义端口（如8080、2222等）
• 用 netstat -tuln | grep :7000 验证监听地址是否为 *:7000，而不是 127.0.0.1:7000
• 如果服务器有多个网卡（比如同时有公网IP和内网IP），bind_addr 可明确指定公网IP，但不要写错

客户端frpc.ini里server_addr不能填localhost或127.0.0.1

这是最常踩的坑：把服务端部署在阿里云ECS上，却在本地 frpc.ini 里写 server_addr = localhost。这会让客户端尝试连自己本机的7000端口，当然失败。

正确做法：

• server_addr 必须填FRP服务端的真实公网IP（如 123.56.78.90）或已解析到该IP的域名
• 如果服务端开了HTTPS或用了CDN，别误以为能走HTTP协议——frpc 和 frps 通信走的是自研TCP协议，不经过HTTP代理
• 若服务端启用了 token，客户端 frpc.ini 中的 token 值必须完全一致，大小写敏感
• 首次调试建议关闭服务端的 vhost_http_port 等高级功能，先用最简TCP映射（比如远程桌面3389或SSH 22）验证链路通不通

映射Web服务时vhost_http_port和custom_domains要配套使用

想让外网通过 http://test.yourdomain.com 访问内网Web服务，不能只靠 type = http，还必须启用HTTP虚拟主机模式。

关键配置组合：

• 服务端 frps.ini 中需开启 vhost_http_port = 8080（或其他非80端口，避开权限限制）
• 客户端 frpc.ini 对应的proxy段中，必须同时设置 type = http、custom_domains = test.yourdomain.com、local_port = 80（对应内网Web服务端口）
• 域名 test.yourdomain.com 需提前解析到FRP服务端的公网IP；如果服务端在NAT后（如家庭宽带），这条路基本走不通，得换用TCP直连模式
• 注意：vhost_http_port 是服务端接收HTTP请求的入口端口，不是内网服务端口；浏览器访问的是 http://test.yourdomain.com:8080（除非你用iptables或反向代理把80转到8080）

systemd托管frpc后无法读取用户级配置文件路径

把 frpc 加进systemd服务后，经常出现“config file not found”或“permission denied”，根源是systemd默认以root用户运行，且工作目录不是你放 frpc.ini 的地方。

解决方法很具体：

• 在service文件（如 /etc/systemd/system/frpc.service）的 [Service] 段中，显式指定 WorkingDirectory=/etc/frp（假设ini放在那里）
• 用绝对路径写 ExecStart=/usr/local/bin/frpc -c /etc/frp/frpc.ini，别依赖相对路径
• 如果配置文件里用了 user 或 group 字段，确保对应用户对 log_file 路径有写权限，否则frpc会静默退出
• 调试时先手动运行一遍命令，确认无报错再reload systemd：运行 sudo systemctl daemon-reload && sudo systemctl start frpc，再用 sudo journalctl -u frpc -f 看实时日志

FRP本身不处理NAT穿越，也不加密业务流量（TLS需额外配置），它的核心价值是稳定维持长连接+端口复用。真正卡住的往往不是配置语法，而是网络层可见性——服务端端口是否可达、客户端能否建连、DNS是否生效，这些比写对ini文件重要得多。

以上就是《Linux下FRP内网穿透配置教程》的详细内容，更多关于的资料请关注golang学习网公众号！