首页
/ 使用Nginx反向代理隐藏FRP内网穿透HTTPS端口的技术方案

使用Nginx反向代理隐藏FRP内网穿透HTTPS端口的技术方案

2025-04-29 03:02:13作者:魏献源Searcher

背景介绍

FRP是一款优秀的内网穿透工具,广泛应用于将内网服务暴露到公网。在实际部署中,HTTPS类型的服务通常需要配置vhostHTTPSPort参数指定监听端口(如20443)。但直接暴露端口号给用户不够友好,本文介绍如何通过Nginx反向代理隐藏端口号,提升用户体验。

问题现象

当尝试通过Nginx将HTTPS请求代理到FRPS的20443端口时,出现502错误。关键错误信息显示:

SSL_do_handshake() failed (SSL: error:14094458:SSL routines:ssl3_read_bytes:tlsv1 unrecognized name:SSL alert number 112)

FRPS日志显示无法获取host信息:

http request for host [] path [] httpUser [] not found

技术原理分析

  1. SNI机制:TLS握手过程中,客户端通过SNI(Server Name Indication)扩展告知服务器要访问的域名
  2. FRP工作原理:FRPS通过解析SNI中的host信息来匹配对应的内网服务
  3. Nginx代理行为:默认情况下,Nginx反向代理HTTPS时不会保留原始SNI信息

解决方案

完整的Nginx配置方案如下:

server {
    listen       80;
    listen  [::]:80;
    server_name *.frps.example.com;
    return 301 https://$host$request_uri;
}

server {
    listen 443 ssl http2;
    listen [::]:443 ssl http2;
    server_name *.frps.example.com;

    ssl_certificate certs/self_signed/server.crt;
    ssl_certificate_key certs/self_signed/server.key;

    location / {
        proxy_pass https://127.0.0.1:20443;
        
        # 关键配置:保留SNI信息
        proxy_ssl_server_name on;
        proxy_ssl_name $host;
        
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    }
}

关键配置说明

  1. proxy_ssl_server_name on:启用SNI信息传递
  2. proxy_ssl_name $host:将客户端请求的原始hostname作为SNI信息传递
  3. 注意Nginx版本兼容性,建议使用1.23.4及以上版本

注意事项

  1. 证书配置:确保Nginx和FRPS都配置了有效的SSL证书
  2. 防火墙设置:需要开放FRPS监听的HTTPS端口
  3. 对于双向认证的服务,需要额外配置客户端证书

总结

通过合理配置Nginx的SSL代理参数,可以完美实现FRP HTTPS服务的端口隐藏。这种方案不仅提升了用户体验,还保持了FRP原有的功能完整性。在实际部署时,建议先进行测试验证,确保各组件版本兼容性。

登录后查看全文
热门项目推荐
相关项目推荐