使用Nginx反向代理FRP服务的配置指南

问题背景

在部署FRP服务时，很多用户会遇到需要通过Nginx进行反向代理的需求。特别是当我们需要限制只能通过域名访问服务，而禁止直接通过IP访问时，这种配置就显得尤为重要。

常见配置误区

很多用户在初次配置时，会遇到以下典型问题：

1. 直接访问本地端口(如127.0.0.1:58880)时出现"no route found"错误
2. 公网IP可以访问，但本地回环地址无法访问
3. Nginx反向代理配置不生效

配置原理分析

FRP服务的HTTP功能依赖于vhostHTTPPort和customDomains的配合使用。当请求到达FRP服务时，它会检查请求头中的Host字段，并与配置的customDomains进行匹配。

正确配置方法

服务端配置(frps.toml)

bindAddr = "0.0.0.0"
bindPort = 60001
vhostHTTPPort = 58880
log.to = "console"
auth.method = "token"
auth.token = "your_token_here"

客户端配置(frpc.toml)

serverAddr = "your_server_ip"
serverPort = 60001
auth.method = "token"
auth.token = "your_token_here"

[[proxies]]
name = "web_service"
type = "http"
localIP = "127.0.0.1"
localPort = 8080
remotePort = 58880
customDomains = ["127.0.0.1"]

关键点说明：

1. localIP指定了本地服务的IP地址
2. customDomains必须设置为"127.0.0.1"才能让Nginx通过本地回环地址访问

Nginx反向代理配置

完成上述FRP配置后，可以在Nginx中添加如下配置：

server {
    listen 80;
    server_name your_domain.com;
    
    location / {
        proxy_pass http://127.0.0.1:58880;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    }
}

安全建议

1. 建议在Nginx配置中添加SSL证书，启用HTTPS
2. 可以通过Nginx的配置限制只允许特定域名访问
3. 考虑在FRP服务前添加防火墙规则，限制访问来源

总结

通过正确配置FRP的customDomains参数为"127.0.0.1"，我们可以实现Nginx对FRP服务的反向代理。这种架构既保证了服务的安全性，又提供了灵活的访问控制能力。对于生产环境，建议进一步结合HTTPS和访问控制策略来增强安全性。