Configuración avanzada de frp de penetración de intranet: configuración en modo stcp y p2p

Hay dos problemas principales con el modo TCP de Frp.

Imagínense, el modo tcp de frp equivale a que su dispositivo exponga directamente un puerto tcp a la red pública. Cualquier dispositivo puede intentar conectarse a este puerto. Aquí habrá grandes riesgos de seguridad.

Todas mis solicitudes deben transferirse a través del servidor FRP, lo que inevitablemente provocará un retraso de red relativamente grande. Además de consumir tráfico del servidor, esto tendrá un mayor impacto en la velocidad de respuesta de nuestro servicio y en el valor económico.

En cuanto a cuestiones de seguridad, la idea de frp es que, dado que estos servicios pueden ser atacados por malos, sólo necesitamos restringir el uso de este puerto a dispositivos específicos.

Entonces la pregunta es, ¿cómo sé qué dispositivos están permitidos?

¿Configuración del servidor? Entonces volvemos a caer en el problema de la penetración de la intranet.

El método más sencillo es utilizar la autenticación por clave. Esta es la idea del modo TCP secreto (stcp) de frp.

Como se muestra en la siguiente figura, el cliente frp 1 necesita exponer un puerto tcp. Entonces, cuando se registró en el servidor, pasó una clave adicional.

Todos los demás dispositivos que deseen acceder a este puerto deben verificar primero esta clave.

De esta manera, necesitamos configurar un cliente frp en el dispositivo que inicia la solicitud y usar este cliente para iniciar la solicitud con la clave.

# configuración de frpc.ini:

[común]

# La IP pública de tu servidor frp

server_addr = x.x.x.x

# El puerto predeterminado de su servidor frp

server_port = 7000

[rdp]

tipo = stcp

# Sólo los usuarios con el mismo sk pueden acceder a este servicio

sk = abcdefg

local_ip = 127.0.0.1

# El número de puerto local del escritorio remoto

local_port = 3389

# frpc.ini

[común]

# La IP pública de su servidor frp

server_addr = x.x.x.x

# El puerto predeterminado de su servidor frp

server_port = 7000

[rdp_visitor]

tipo = stcp

# visitante stcp

rol = visitante

# El nombre del agente stcp al que se accederá

nombre_servidor = rdp< /p >

# Solo los usuarios con el mismo sk pueden acceder a este servicio

sk = abcdefg

# Vincula el puerto local para acceder al servicio de escritorio remoto

bind_addr = 127.0.0.1

bind_port = 6000

En este momento, está en el cliente 2 y usa 127.0.0.1:6000 para acceder al servicio remoto del cliente 1.

Piénselo, el objetivo principal de nuestro servidor frp es resolver el problema del reconocimiento mutuo entre dos dispositivos. Cuando se ejecuta oficialmente, en realidad no es necesario que el servidor haga nada.

El cliente frp es como dos personas en una cita a ciegas, y el servidor frp es el casamentero. Después de que el casamentero haya hecho la presentación, la cita a ciegas debería conversar por su cuenta.

Este es el modo peer-to-peer (p2p). En frp, esto se puede lograr configurando xtcp.

Servidor: La configuración necesita agregar un puerto udp 7001. Después de agregarlo, quedará de la siguiente

#frps.ini

[común]

bind_port = 7000

bind_udp_port = 7001

# frpc.ini

[común]

# El público red de su servidor frp ip

server_addr = x.x.x.x

# El puerto predeterminado de su servidor frp

server_port = 7000

[rdp ]

type = xtcp

# Solo los usuarios con el mismo sk pueden acceder a este servicio

sk = abcdefg

local_ip = 127.0. 0.1

# El número de puerto local del escritorio remoto

local_port = 3389

# frpc.ini

[común]

# Tú La IP pública del servidor frp

server_addr = x.x.x.x

# El puerto predeterminado de tu servidor frp

server_port = 7000

[ rdp_visitor]

tipo = xtcp

# visitante stcp

rol = visitante

# El nombre de el agente stcp a visitar

server_name = rdp

# Solo los usuarios con el mismo sk pueden acceder a este servicio

sk = abcdefg

# Se utiliza para vincular puertos locales para acceder a Servicios de Escritorio remoto

bind_addr = 127.0.0.1

bind_port = 6000

En este momento, estás en el cliente 2 , utilizando el mismo método para 127.0 .0.1:6000 puede acceder al servicio remoto del cliente 1.

Sin embargo, cabe señalar que el servicio p2p actual de frp aún no es perfecto y muchos dispositivos NAT aún no pueden penetrarlo.

En este momento, aún necesitas volver a stcp para usarlo.