1、场景描述

一直使用frp内网穿透将家里的PC机映射到公网云主机，供外网随时访问

可以参考之前的文章

Linux下内网穿透工具Frp的简单使用

腾讯云主机上部署FRP+Teamviewer穿透内网进行远程运维

最近看到frp的官方文档中关于STCP的概念 对于某些服务来说如果直接暴露于公网上将会存在安全隐患。

使用 stcp(secret tcp) 类型的代理可以避免让任何人都能访问到要穿透的服务，但是访问者也需要运行另外一个 frpc 客户端

https://gofrp.org/docs/examples/stcp/

也参考搜到的一些配置案例（具体链接如下）

http://blog.itpub.net/31559985/viewspace-2731496/
https://blog.csdn.net/htxhtx123/article/details/104219317
https://www.linuxprobe.com/frp-tcpstcp-ssh-homelinux.html

2、拓扑环境+需求场景

打算在如下环境中动手实践一下

如下图拓扑图所示

A内网中 :

1、CentOS7.9虚拟机192.168.60.105上安装frpc客户端，向云主机frps服务端注册

2、Win10机器(192.168.60.112) Teamviewer15

B内网中:

1、CentOS7.9虚拟机192.168.31.232上安装frpc客户端,向云主机frps服务端注册

2、Win10机器(192.168.31.78) Teamviewer15

最终要实现 A内网win10机器Teamviewer访问192.168.60.105的5938端口就可以内网穿透直接访问B内网中win7(192.168.31.78)的Teamviewer

同样B内网win7机器Teamviewer访问192.168.31.232的5938端口就可以内网穿透直接访问A内网中Win10(192.168.60.112)的Teamviewer

达到相互的目的，并且不用在云主机上暴露其它端口

3、实现的具体配置步骤

1、A内网的CentOS7.9安装frpc,配置frpc.ini

frp的下载地址
https://github.com/fatedier/frp/releases

tar -zxvf frp_0.37.1_linux_amd64.tar.gz -C /usr/local/
cd /usr/local/
mv frp_0.37.1_linux_amd64 frp
cd frp
vim frpc.ini
[root@centos frp]# cat frpc.ini 
[common]
server_addr = 云服务器公网IP
server_port = 云服务器FRPS端口
authentication_method = token
authenticate_heartbeats = false
authenticate_new_work_conns = XXXXXXX(自行定义)
log_file =  /usr/local/frp/logs/frpc.log
log_level = info
log_max_days = 30
[stcp_tv_nuc_win7]
type = stcp
sk = walkingcloud
local_ip = 192.168.31.78
local_port = 5938
[stcp_centos_105]
type = stcp
role = visitor
sk = walkingcloud
server_name = stcp_tv_b550m
bind_addr = 192.168.60.105
bind_port = 5938

cd /usr/local/frp
chown -R root:root /usr/local/frp/
mkdir logs
chown nobody:nobody logs
touch logs/frpc.log
chown nobody:nobody logs/frpc.log
vim systemd/frpc.service 
#修改文件
[Unit]
Description=Frp Client Service
After=network.target
[Service]
Type=simple
User=nobody
Restart=on-failure
RestartSec=5s
ExecStart=/usr/local/frp/frpc -c /usr/local/frp/frpc.ini
ExecReload=/usr/local/frp/frpc reload -c /usr/local/frp/frpc.ini
LimitNOFILE=1048576
[Install]
WantedBy=multi-user.target
cp systemd/frpc.service /usr/lib/systemd/system/
systemctl enable frpc.service 
systemctl start frpc.service 
tail -f /usr/local/frp/logs/frpc.log

2、B内网的CentOS7.9安装frpc,配置frpc.ini

安装frp步骤与上面A内网的一致，不同是frpc.ini的配置

vim /usr/local/frp/frpc.ini 
[common]
server_addr = 云服务器公网IP
server_port = 云服务器FRPS端口
authentication_method = token
authenticate_heartbeats = false
authenticate_new_work_conns = XXXXXXX(自行定义)
log_file =  /usr/local/frp/logs/frpc.log
log_level = info
log_max_days = 30
[stcp_tv_nucwin7]
type = stcp
sk = walkingcloud
local_ip = 192.168.31.78
local_port = 5938
[stcp_centos_232]
type = stcp
role = visitor
sk = walkingcloud
server_name = stcp_tv_b550m
bind_addr = 192.168.31.232
bind_port = 5938

注意，配置中server_name 为对端的定义服务标签名，A内网与B内网要相互对应上

3、firewalld防火墙开放5938端口

firewall-cmd  --permanent  --zone=public --add-port=5938/tcp
firewall-cmd --reload

当然我这里Win10与Win7的Teamviewer都开启了接受呼入的LAN连接

4、验证测试

• 1)、A内网win10机器Teamviewer访问192.168.60.105的5938端口

可以看出已经成功访问到B内网中win7(192.168.31.78)的Teamviewer

2)、B内网win7机器Teamviewer访问192.168.31.232的5938端口

可以看出已经成功访问到A内网中Win10(192.168.60.112)的Teamviewer

5、总结

• 1)、使用STCP的FRP内网穿透无需在云主机上面开放其它端口，可以实现安全内网穿透访问
• 2)、后续可以考虑进行P2P点对点内网穿透，有空再进行尝试

不通过服务器中转流量的方式来访问内网服务。frp 提供了一种新的代理类型 xtcp 用于应对在希望传输大量数据且流量不经过服务器的场景。使用方式同 stcp 类似，需要在两边都部署上 frpc 用于建立直接的连接。目前处于开发的初级阶段，并不能穿透所有类型的 NAT 设备，所以穿透成功率较低。穿透失败时可以尝试 stcp 的方式