FRP端口指南：端口7000上的反向代理隧道

FRP 有一个名为 frps 的服务器端和一个名为 frpc 的客户端。 frps 运行在具有可访问公共地址的计算机上。 frpc 在私有服务附近运行，向外连接到 frps，进行身份验证，并要求 frps 通过配置的代理公开本地服务。

当家庭实验室、分支机构、设备、测试环境或专用网络服务需要临时或受控的外部访问时，此模型非常有用。这也意味着 frps 成为面向互联网的边缘，因此令牌、TLS、ACL、日志和服务范围与端口本身一样重要。

TCP 7000通常用作frps的bind_port，frpc在其中建立控制连接。 HTTP 和 HTTPS 反向代理模式可能使用 vhost_http_port 和 vhost_https_port，通常为 80 和 443。 TCP 和 UDP 代理映射可以公开用户直接连接的自定义远程端口。

FRP 还可以根据配置公开仪表板、指标端点或管理界面。这些管理端口不应被视为公共应用程序端口。将它们限制为受信任的 IP、VPN、本地主机或专用网络。

当受信任的 frpc 客户端需要从专用网络注册隧道时，打开 frps 绑定端口。仅针对您有意发布的服务打开面向用户的远程端口，例如 Web 应用程序预览、通过受控隧道的 SSH 访问、Webhook 接收器或游戏服务器。

不要仅仅因为 FRP 使之变得简单而公开广泛的端口范围或管理接口。每个远程端口都是隧道后面某物的公共入口点，每个映射都应具有所有者、用途、访问策略和删除日期（如果是临时的）。

在允许端口 7000 之前，请决定哪些客户端可以连接、允许哪些代理类型、可以注册哪些远程端口以及流量是否应使用 TLS。检查身份验证令牌或 OIDC 设置、客户端命名以及是否可以通过任意远程端口进行权限升级。

端口检查器可以确认frps绑定端口或已发布的远程端口是否可达，但无法证明FRP身份验证、路由所有权或后端服务安全性是否正确。验证隧道控制路径和公开的应用程序行为。

在云服务器上，使用固定的公共 IP 或稳定的 DNS 名称运行 frps，仅允许所需的绑定端口和已发布的服务端口，并将仪表板或管理访问权限保持私有。尽可能将 HTTP 和 HTTPS 流量置于正常 TLS 和基于主机的路由之后。

在 Linux 或 Windows 客户端上，将 frpc 作为私有应用程序附近的服务运行。仔细配置 local_ip、local_port、代理类型、remote_port 或自定义域以及凭据。避免在不相关的环境中重复使用相同的令牌。

如果FRP用于类似生产的访问，则添加流程监管、日志保留、监控、证书更新和变更控制。最初为方便起见的隧道可能会比预期更快地成为关键基础设施。

首先针对公共 frps 主机名或 IP 和端口 7000 进行外部端口检查。如果打开，frpc 客户端可能能够访问控制侦听器。然后检查frps日志和frpc日志以确认身份验证、代理注册和心跳状态。

接下来，测试已发布的服务本身。对于 HTTP 或 HTTPS 隧道，请针对公共域使用curl 或浏览器。对于 TCP 隧道，使用真实客户端连接到配置的远程端口。健康的控制端口并不能保证后端应用程序或远程端口映射正常工作。

如果端口 7000 被关闭，frps 可能未运行，可能绑定到 localhost，或者可能被主机防火墙或云安全组阻止。如果 frpc 无法连接，还要检查客户端的 DNS、server_addr、bind_port、TLS 设置、令牌不匹配和网络出口规则。

如果控制连接有效，但服务无法访问，请检查remote_port冲突、vhost域路由、HTTP主机标头、本地服务侦听器、frpc端的NAT以及frps allowed_ports策略。许多 FRP 问题发生在隧道注册后，而不是在初始端口检查时。

将 frps 视为公共网关。使用强身份验证、轮换令牌、限制允许的端口、禁用未使用的代理类型、保护仪表板以及记录客户端连接和代理注册。如果没有额外的身份验证层，请勿通过 FRP 公开内部管理工具。

对于敏感服务，请将 FRP 放置在 VPN、身份感知代理、mTLS、防火墙白名单或具有速率限制的反向代理后面。定期检查活动隧道并删除不再具有明确所有者或业务目的的映射。