Guia de porta FRP: túneis de proxy reverso na porta 7000

O FRP possui um lado servidor chamado frps e um lado cliente chamado frpc. frps é executado em uma máquina com um endereço público acessível. O frpc é executado próximo ao serviço privado, conecta-se externamente ao frps, autentica e solicita ao frps que exponha um serviço local por meio de um proxy configurado.

Este modelo é útil quando um laboratório doméstico, filial, dispositivo, ambiente de teste ou serviço de rede privada precisa de acesso externo temporário ou controlado. Isso também significa que o frps se torna uma vantagem voltada para a Internet, portanto, tokens, TLS, ACLs, logs e escopo de serviço são tão importantes quanto a própria porta.

TCP 7000 é comumente usado como frps bind_port, onde frpc estabelece a conexão de controle. O modo de proxy reverso HTTP e HTTPS pode usar vhost_http_port e vhost_https_port, geralmente 80 e 443. Os mapeamentos de proxy TCP e UDP podem expor portas remotas personalizadas às quais os usuários se conectam diretamente.

O FRP também pode expor um painel, um endpoint de métricas ou uma interface administrativa, dependendo da configuração. Essas portas de gerenciamento não devem ser tratadas como portas de aplicação pública. Restrinja-os a IPs confiáveis, VPN, localhost ou redes privadas.

Abra a porta de ligação frps quando clientes frpc confiáveis precisarem registrar túneis de redes privadas. Abra portas remotas voltadas para o usuário apenas para os serviços que você publica intencionalmente, como uma visualização de aplicativo da web, acesso SSH por meio de um túnel controlado, um receptor de webhook ou um servidor de jogos.

Não exponha amplos intervalos de portas ou interfaces de gerenciamento apenas porque o FRP facilita isso. Cada porta remota é um ponto de entrada público para algo atrás do túnel, e cada mapeamento deve ter um proprietário, finalidade, política de acesso e data de remoção, se for temporário.

Antes de permitir a porta 7000, decida quais clientes podem se conectar, quais tipos de proxy são permitidos, quais portas remotas podem ser registradas e se o tráfego deve usar TLS. Revise os tokens de autenticação ou as configurações do OIDC, a nomenclatura do cliente e se é possível o escalonamento de privilégios por meio de portas remotas arbitrárias.

Um verificador de porta pode confirmar se a porta de ligação frps ou uma porta remota publicada está acessível, mas não pode provar que a autenticação FRP, a propriedade da rota ou a segurança do serviço backend estão corretas. Valide o caminho de controle do túnel e o comportamento exposto do aplicativo.

Em um servidor em nuvem, execute frps com um IP público fixo ou nome DNS estável, permita apenas a porta de ligação necessária e as portas de serviço publicadas e mantenha privado o acesso ao painel ou ao administrador. Coloque o tráfego HTTP e HTTPS atrás do TLS normal e do roteamento baseado em host sempre que possível.

Em clientes Linux ou Windows, execute frpc como um serviço próximo ao aplicativo privado. Configure local_ip, local_port, tipo de proxy, remote_port ou domínio personalizado e credenciais com cuidado. Evite reutilizar o mesmo token em ambientes não relacionados.

Se o FRP for usado para acesso semelhante ao de produção, adicione supervisão de processo, retenção de log, monitoramento, renovação de certificado e controle de alterações. Um túnel que começa como uma conveniência pode se tornar uma infraestrutura crítica mais rápido do que o esperado.

Comece com uma verificação de porta externa em relação ao nome de host frps público ou IP e porta 7000. Se estiver aberto, os clientes frpc poderão alcançar o ouvinte de controle. Em seguida, verifique os logs de frps e os logs de frpc para confirmar a autenticação, o registro de proxy e o status de pulsação.

Em seguida, teste o próprio serviço publicado. Para túneis HTTP ou HTTPS, use curl ou um navegador de domínio público. Para túneis TCP, conecte-se à porta remota configurada com o cliente real. Uma porta de controle íntegra não garante que o aplicativo de back-end ou o mapeamento de porta remota estejam funcionando.

Se a porta 7000 estiver fechada, o frps pode não estar em execução, pode estar vinculado ao host local ou pode ser bloqueado pelo firewall do host ou pelo grupo de segurança da nuvem. Se o frpc não puder se conectar, verifique também DNS, server_addr, bind_port, configurações de TLS, incompatibilidade de token e regras de saída de rede no lado do cliente.

Se a conexão de controle funcionar, mas o serviço estiver inacessível, inspecione conflitos de porta_remota, roteamento de domínio vhost, cabeçalhos de host HTTP, ouvintes de serviço local, NAT no lado frpc e política de permissão_portas de frps. Muitos problemas de FRP acontecem após o registro do túnel, e não na verificação inicial da porta.

Trate o frps como um gateway público. Use autenticação forte, alterne tokens, restrinja portas permitidas, desative tipos de proxy não utilizados, proteja painéis e registre conexões de clientes e registros de proxy. Não exponha ferramentas administrativas internas por meio de FRP sem uma camada de autenticação adicional.

Para serviços confidenciais, coloque o FRP atrás de uma VPN, proxy com reconhecimento de identidade, mTLS, lista de permissões de firewall ou proxy reverso com limitação de taxa. Revise os túneis ativos regularmente e remova mapeamentos que não tenham mais um proprietário ou propósito comercial claro.