Linux配置Nginx反向代理实现内网穿透

本文深入解析了如何通过Nginx与frp等隧道工具协同实现安全、专业的内网穿透：明确指出Nginx本身不具备穿透能力，仅承担反向代理核心职责——包括域名路由、HTTPS卸载、端口隐藏及请求转发；关键在于将其proxy_pass精准指向本地frps监听端口（如127.0.0.1:8080），而非错误地直连内网地址，并辅以正确的Host、X-Real-IP头设置与proxy_redirect控制，避免内网IP泄露；同时系统梳理了frp连接失败的三大高频原因（地址/Token配置错误、防火墙未放行）、多服务共用80端口的路径/域名分流策略，以及后端绝对URL导致暴露内网的根本解法，助你从“能访问”迈向“像一个真正上线网站”的生产级部署。

直接说结论：Nginx 本身不能穿透内网，它只是反向代理；真正打通内网的是 frp / nps / 神卓互联这类隧道工具。Nginx 的作用是把公网请求“分发”到本地的隧道端口，并隐藏端口号、加 HTTPS、做域名路由——没它，也能用 IP+端口访问；有它，才像一个正经网站。

frp 客户端连不上服务端？先检查这三处

常见错误现象：connection refused、timeout、日志里反复出现 login to server failed

• server_addr 填的是云服务器公网 IP，不是内网 IP（哪怕你在云服务器上跑 frpc 也要填公网 IP）
• token 在 frps.ini 和 frpc.ini 中必须完全一致，大小写敏感，且不能有多余空格
• 云服务器防火墙或安全组必须放行 bind_port（如 7000）和 vhost_http_port（如 8080），只开 80 不够

nginx.conf 里 proxy_pass 指向谁？别写错成内网地址

使用场景：你用 frp 把本地 192.168.1.100:8080 映射到了云服务器的 8080 端口，现在想通过 example.com 访问

错误写法：proxy_pass http://192.168.1.100:8080/;（Nginx 在云服务器上，根本访问不到这个内网地址）

正确写法：proxy_pass http://127.0.0.1:8080/;（frp 服务端 frps 已监听本地 8080，Nginx 只需转发给它）

关键参数别漏：

• proxy_set_header Host $host; —— 否则后端服务收不到原始域名
• proxy_set_header X-Real-IP $remote_addr; —— 否则日志里全是 127.0.0.1
• proxy_redirect off; —— 防止重定向跳转到 http://127.0.0.1:8080 这种地址

为什么加了 nginx 还是暴露了内网 IP？

典型表现：网页源码里看到 http://192.168.1.100:8080/static/xxx.js，或者响应头里 Location: http://192.168.1.100:8080/login

原因不是 Nginx 配置错了，而是后端应用自己生成了绝对 URL，没适配反向代理

临时缓解（Nginx 层面）：

• 用 sub_filter 替换响应体中的内网地址：sub_filter 'http://192.168.1.100:8080/' 'https://example.com/';
• 加 proxy_redirect http://192.168.1.100:8080/ https://example.com/;（仅对 301/302 有效）

但更可靠的做法是：让后端服务启动时明确指定 BASE_URL=https://example.com 或类似配置项，从源头避免硬编码内网地址

多个服务共用 80 端口？server_name 和 location 要配合好

使用场景：你同时跑了博客（/）、文件管理器（/file/）、API 服务（/api/）

别只靠 location / 一把梭，容易冲突。推荐组合用法：

• 按域名区分：server_name blog.example.com; + server_name api.example.com;
• 按路径前缀区分：location ^~ /file/ { proxy_pass http://127.0.0.1:8081/; }（注意末尾斜杠）
• 静态资源单独处理：location ~* \.(js|css|png|jpg)$ { expires 1h; add_header Cache-Control "public"; }

特别注意：proxy_pass 后带斜杠（/）会剥离匹配的路径前缀；不带则原样转发，极易导致 404

最常被忽略的一点：frp 的 vhost_http_port 和 Nginx 的 listen 80 可以共存，但两者不能监听同一个端口。Nginx 必须监听 80 或 443 对外，frps 则监听另一个端口（如 8080）供 Nginx 内部通信——这个分工一旦颠倒，整个链路就断了。

好了，本文到此结束，带大家了解了《Linux配置Nginx反向代理实现内网穿透》，希望本文对你有所帮助！关注golang学习网公众号，给大家分享更多文章知识！