FRP 포트 안내: 포트 7000의 역방향 프록시 터널

FRP에는 frps라는 서버 측과 frpc라는 클라이언트 측이 있습니다. frps는 접근 가능한 공개 주소가 있는 시스템에서 실행됩니다. frpc는 개인 서비스 근처에서 실행되고, frps에 외부로 연결하고, 인증하고, 구성된 프록시를 통해 로컬 서비스를 노출하도록 frps에 요청합니다.

이 모델은 홈 랩, 지사, 장치, 테스트 환경 또는 개인 네트워크 서비스에 일시적이거나 제어된 외부 액세스가 필요한 경우에 유용합니다. 이는 또한 frps가 인터넷에 연결된 에지가 됨을 의미하므로 토큰, TLS, ACL, 로그 및 서비스 범위 지정은 포트 자체만큼 중요합니다.

TCP 7000은 일반적으로 frpc가 제어 연결을 설정하는 frps 바인딩_포트로 사용됩니다. HTTP 및 HTTPS 역방향 프록시 모드는 vhost_http_port 및 vhost_https_port(종종 80 및 443)를 사용할 수 있습니다. TCP 및 UDP 프록시 매핑은 사용자가 직접 연결하는 사용자 정의 원격 포트를 노출할 수 있습니다.

FRP는 구성에 따라 대시보드, 메트릭 엔드포인트 또는 관리 인터페이스를 노출할 수도 있습니다. 이러한 관리 포트는 공용 애플리케이션 포트처럼 취급되어서는 안 됩니다. 신뢰할 수 있는 IP, VPN, 로컬 호스트 또는 개인 네트워크로 제한하세요.

신뢰할 수 있는 frpc 클라이언트가 개인 네트워크에서 터널을 등록해야 하는 경우 frps 바인드 포트를 엽니다. 웹 앱 미리 보기, 제어된 터널을 통한 SSH 액세스, 웹후크 수신기 또는 게임 서버와 같이 의도적으로 게시한 서비스에 대해서만 사용자 대상 원격 포트를 엽니다.

단지 FRP가 쉽다는 이유만으로 넓은 포트 범위나 관리 인터페이스를 노출하지 마십시오. 각 원격 포트는 터널 뒤에 있는 항목에 대한 공개 진입점이며 각 매핑에는 소유자, 목적, 액세스 정책 및 임시인 경우 제거 날짜가 있어야 합니다.

포트 7000을 허용하기 전에 연결할 수 있는 클라이언트, 허용되는 프록시 유형, 등록할 수 있는 원격 포트 및 트래픽에서 TLS를 사용해야 하는지 여부를 결정하세요. 인증 토큰 또는 OIDC 설정, 클라이언트 이름 지정, 임의 원격 포트를 통한 권한 에스컬레이션 가능 여부를 검토하세요.

포트 검사기는 frps 바인딩 포트 또는 게시된 원격 포트에 연결할 수 있는지 확인할 수 있지만 FRP 인증, 경로 소유권 또는 백엔드 서비스 보안이 올바른지 증명할 수는 없습니다. 터널 제어 경로와 노출된 애플리케이션 동작을 모두 검증합니다.

클라우드 서버에서는 고정 공용 IP 또는 안정적인 DNS 이름으로 frps를 실행하고, 필요한 바인드 포트와 게시된 서비스 포트만 허용하고, 대시보드 또는 관리자 액세스를 비공개로 유지하세요. 가능한 경우 일반 TLS 및 호스트 기반 라우팅 뒤에 HTTP 및 HTTPS 트래픽을 배치합니다.

Linux 또는 Windows 클라이언트의 경우 개인 애플리케이션 근처에서 frpc를 서비스로 실행하십시오. local_ip, local_port, 프록시 유형, Remote_port 또는 사용자 정의 도메인 및 자격 증명을 신중하게 구성합니다. 관련되지 않은 환경에서 동일한 토큰을 재사용하지 마십시오.

프로덕션과 유사한 액세스에 FRP를 사용하는 경우 프로세스 감독, 로그 보존, 모니터링, 인증서 갱신 및 변경 제어를 추가합니다. 편의를 위해 시작된 터널은 예상보다 빠르게 중요한 인프라가 될 수 있습니다.

공개 frps 호스트 이름 또는 IP 및 포트 7000에 대한 외부 포트 확인으로 시작합니다. 열려 있으면 frpc 클라이언트가 제어 수신기에 연결할 수 있습니다. 그런 다음 frps 로그 및 frpc 로그를 확인하여 인증, 프록시 등록 및 하트비트 상태를 확인합니다.

다음으로 게시된 서비스 자체를 테스트합니다. HTTP 또는 HTTPS 터널의 경우 공개 도메인에 대해 컬 또는 브라우저를 사용하십시오. TCP 터널의 경우 실제 클라이언트를 사용하여 구성된 원격 포트에 연결합니다. 정상 제어 포트가 백엔드 애플리케이션 또는 원격 포트 매핑의 작동을 보장하지 않습니다.

포트 7000이 닫히면 frps가 실행되지 않거나, localhost에 바인딩되거나, 호스트 방화벽이나 클라우드 보안 그룹에 의해 차단될 수 있습니다. frpc가 연결할 수 없는 경우 클라이언트 측에서 DNS, server_addr, bind_port, TLS 설정, 토큰 불일치 및 네트워크 송신 규칙도 확인하십시오.

제어 연결은 작동하지만 서비스에 접근할 수 없는 경우, remote_port 충돌, 가상 호스트 도메인 라우팅, HTTP 호스트 헤더, 로컬 서비스 수신기, frpc 측 NAT 및 frpsallow_ports 정책을 검사합니다. 많은 FRP 문제는 초기 포트 확인 시가 아니라 터널이 등록된 후에 발생합니다.

frps를 공용 게이트웨이로 취급합니다. 강력한 인증을 사용하고, 토큰을 교체하고, 허용된 포트를 제한하고, 사용하지 않는 프록시 유형을 비활성화하고, 대시보드를 보호하고, 클라이언트 연결 및 프록시 등록을 기록합니다. 추가 인증 계층 없이 FRP를 통해 내부 관리 도구를 노출하지 마십시오.

민감한 서비스의 경우 VPN, 신원 인식 프록시, mTLS, 방화벽 허용 목록 또는 속도 제한이 있는 역방향 프록시 뒤에 FRP를 배치하세요. 활성 터널을 정기적으로 검토하고 더 이상 명확한 소유자나 비즈니스 목적이 없는 매핑을 제거하십시오.