FRP指定访问者:安全地暴露内网服务

之前的教程介绍的frp内网穿透都是用tcp模式,但是tcp模式是直接把端口映射到公网IP上,很容易被扫描爆破,还是存在一定的风险。我们可以使用frp提供的stcp模式来避免公开暴露端口,要求访问者运行一个frpc作为身份认证和流量转发,把访问者的本地端口绑定到内网frpc服务上。不再公开映射内网frpc端口。

frps配置

作为中间传输的服务器端的frps配置不变,参考之前的文章,如果想自定义其他端口,注意两端的frpc中的"server_addr"、"server_port"参数要一致。frps用到的端口要在防火墙或者宝塔那里放行。

frps.ini

 
 
 
 
    
  
  
  
  
  1. [common]
    2. 
  
  
  
  
  2. bind_port = 7100
    3. 
  
  
  
  
  3. token=12310086N
    4. 
  
  
  
  
  4. 
  
  
  
  
  5. dashboard_port = 7501
    6. 
  
  
  
  
  6. dashboard_user = admin
    7. 
  
  
  
  
  7. dashboard_pwd = admin123
    8.

客户端

stcp模式的演示,我们以windwos的远程桌面为例,不再直接把内网的3389端口映射到公网IP的端口上,而是通过stcp模式指定验明访问者分身,要求访问者也要运行一个frpc 作为身份校验和流量转发,让访问者把访问本地端口的请求转发到内网机器上。

frpc两端分为外部的"控制端"和处于内网中的"受控端"。

内网中的受控端

编辑 fcpc.ini文件。服务[secret_rdp]之类的服务名可以自定义,见名知意即可。

 
 
 
 
    
  
  
  
  
  1. [common]
    2. 
  
  
  
  
  2. server_addr = 服务器ip
    3. 
  
  
  
  
  3. server_port = 7100
    4. 
  
  
  
  
  4. token=12310086N
    5. 
  
  
  
  
  5. 
  
  
  
  
  6. [secret_rdp]
    7. 
  
  
  
  
  7. type = stcp
    8. 
  
  
  
  
  8. sk = 58iD9tfjPIHQ0dWO
    9. 
  
  
  
  
  9. local_ip = 127.0.0.1
    10. 
  
  
  
  
  10. local_port = 3389
    11. 
 
 
 
 
 
 
 
 
    
  
  
  
  
  1. frpc.exe -c frpc.ini
    2.

外网的控制端

编辑 fcpc.ini文件,服务[secret_rdp_visitor]之类的服务名可以自定义,见名知意即可。

 
 
 
 
    
  
  
  
  
  1. [common]
    2. 
  
  
  
  
  2. server_addr = 服务器ip
    3. 
  
  
  
  
  3. server_port = 7100
    4. 
  
  
  
  
  4. token=12310086N
    5. 
  
  
  
  
  5. 
  
  
  
  
  6. [secret_rdp_visitor]
    7. 
  
  
  
  
  7. type = stcp
    8. 
  
  
  
  
  8. role = visitor
    9. 
  
  
  
  
  9. sk = 58iD9tfjPIHQ0dWO
    10. 
  
  
  
  
  10. server_name = secret_rdp
    11. 
  
  
  
  
  11. bind_addr = 127.0.0.1
    12. 
  
  
  
  
  12. bind_port = 30009
    13. 
 
 
 
 
 
 
 
 
    
  
  
  
  
  1. frpc.exe -c frpc.ini
    2.

牵线成功

两端都显示连接成功了,frp的在线面板里也看到stcp中多了"secret_rdp"一个连接记录。

控制端启动连接成功时候也会看到frps出现连接成功的日志。

连接

我们在外网的控制端,打开远程桌面,输入 "127.0.0.1:30009",就弹出来连接成功的登录界面了。

原 理

原理两端的frpc启用的stcp模式,就是要求frps把一端访问本地端口的请求转发到内网frpc上。一端必须运行访客模式的frpc表明身份才会被frps接纳再转发。

受控端

受控端中frpc读取配置文件:

  1. “[secret_rdp]”服务中,以stcp模式,把受控端本地的3389转发到服务器的frps上。
  2. "sk"是stcp服务的密钥,两端中的"sk"不匹配,不允许连接。
  3. 受控端stcp模式以服务名的形式匹配连接,不需要映射到公网IP的端口上,也不再需要remote_port。

控制端

控制端中的配置:

  1. [secret_rdp_visitor]服务中"role=visitor"是指定本机的服务为"访问者"的stcp模式。
  2. "sk"密钥。
  3. 控制端中的“server_name”是指定要连接的受控端中的服务名,服务名必须一致。
  4. 控制端中的"bind_addr"必须是"127.0.0.1"。
  5. "bind_addr"、"bind_port"这两个参数是指本地端口。指定本地frpc转发要通过frps和受控端连接的本地端口。

流程

  1. frps启动,等着两端frpc的stcp转发配置。
  2. 受控端frpc启动,读取配置文件:服务名[secret_rdp]以stcp模式,将本地的3389端口转发到frps上。
  3. 控制端frpc读取配置文件和frps连接。
  4. 控制端frpc的配置指定"sk"密钥和受控端的服务名,要frps把控制端本地30009端口和受控端的[secret_rdp]服务绑定上。
  5. 控制端访问本地30009端口,请求被控制端的frpc转发到frps上,frps再将请求转发到受控端的[secret_rdp]服务上。
  6. 受控端[secret_rdp]服务里也指明了受控端哪些端口来接收响应处理被转发请求。

总 结

流程就是frpc指定使用stcp访问,要求校验正确身份和服务名后再转发请求,把访问者的本地端口绑定到内网frpc服务上。不再直接把受控端映射到公网端口上,也避免因为公开被扫描爆破的风险,安全的暴露内网服务。表达水平有限,多读几遍上面的步骤,就是把访问者的本地端口绑定到内网frpc服务上,这一套下来比较绕,如果没看懂,照着教程操作一次,理解了就豁然开朗了。同时也可以着手实践安全的暴露其他的内网服务,比如MySQL:指定控制端访问本地的33306端口的响应由内网的MySQL 3306响应。

本文转载自微信公众号「Linux就该这么学」,可以通过以下二维码关注。转载本文请联系Linux就该这么学公众号。

网站标题:FRP指定访问者:安全地暴露内网服务
文章来源:http://www.csdahua.cn/qtweb/news32/453132.html

网站建设、网络推广公司-快上网,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等

广告

声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 快上网

成都快上网为您推荐相关内容

全网营销推广知识

分类信息网站

全网营销推广    成都微信公众号开发    崇州网站建设    成都网站建设    成都康明斯发电机    成都公司注册代办    bgp机房托管    400电话申请    支点广告    APP定制    上市集团网站建设    网上商城开发    免备案虚拟主机    重庆联通机房托管    产品包装设计    成都ssl证书认证    云服务器    成都做网站    成都广告设计    香港云服务器