作者简介
感谢本文作者蔡斯，Zabbix社区签约专家，Zabbix6.0、7.0官方译者。

一、背景：免费穿透工具的管理之痛

近年来，家庭 4K 影院、远程剪辑、NAS 灾备……需求井喷；随着IPv4 枯竭、IPv6 普及受限，让「移动观影 + 异地组网」成为刚需。FRP、ZeroTier、N2N 等零成本穿透方案迅速流行，却也带来三大痛点：

• 商软免费节点限制多，多账号、多中转设备难管理
• 异地组网服务端口随机分配，无法设定固定值
• 既无 snmp，也固定探针，内网服务运行状态全靠“盲猜”

本文以「穿透工具A」为例，演示如何借助 Zabbix 低级别发现（LLD）+ HTTP 代理打造一次配置、"终身"自治的监控体系，支持无限横向扩展。

二、HTTP 代理：Zabbix 的"万能数据采集器"

HTTP agent 是 Zabbix 内置的一种无 Agent 采集方式：

• 由 Server/Proxy 主动发起 HTTP/HTTPS 请求
• 支持 Header、POST、Cookie、Auth、SSL 等完整 HTTP 语义
• 返回体可以是 JSON、XML、Text，再配合 预处理 做二次解析

通过「穿透工具A」 REST 接口我们把它“拉”进Zabbix监控，实现多账号多设备零侵入纳管。

三、「穿透工具A」接口长什么样？

下文仅保留关键字段与含义，敏感 ID、域名、MAC 等已全部替换为占位符。

注：本文中不涉及任何用户隐私数据或敏感信息，所有数据均为示例数据，使用这些浏览器暴露接口的行为是基于技术研究和学习目的，并且不用于任何商业或非法用途。

3.1 账号级流量统计
POST/user/flow_stat

{
   
  "rtn": 0,
  "data": {
   
    "ddnsBytes": 1782357604,
    "relayBytes": 259885
  }
}

字段说明

ddnsBytes：累计直流流量（单位字节），需 ÷ 1024³ 转 GB

relayBytes：累计中转流量（单位字节），需 ÷ 1024³ 转 GB

3.2 内网穿透条目配置
POST/ddns/cfg/list
作用：列出当前账号下所有已创建的 DDNS 映射条目，供 LLD 用。

{
   
  "rtn": 0,
"datas": [
    {
   
      "id": xxxx,
      "peerid": "xxxx",
      "domain": "xxx.iepose.cn",
      "protocolLan": "https",
      "lanAddr": "192.168.0.xx:5001",
      "status": true,
      "uid": "xxxxx",
      "comment": "群晖NAS",
      ....
    }
  ]
}

字段说明

rtn：0 = 成功
datas[].id：映射记录内部 ID（示例：xxxxx→ MAP_ID）
datas[].peerid：节点唯一标识（示例：AD1*OW→ NOD_ID）
datas[].domain：暴露给外网的域名（示例：xxx.iepose.cn→ EXAMPLE_DOMAIN）
datas[].lanAddr：内网地址端口（示例：192.168.0.19:1234→ 192.168.x.x:PORT）
datas[].status：true = 映射在线
datas[].checkin：true = 心跳正常

3.3 中转设备绑定管理
GET/jdis/bindget?
作用：拉取账号下所有已绑定设备，含网卡、版本等信息，供 LLD 用。

{
   
    "terms": [
        {
   
            "peerid": "xxxx",
            "term": {
   
                "nic": [
                    {
   
                        "mac": "xxxxxxxxxx",
                        .....
                ],
                "name": "LAPTOP-MICLE",
                "ip": xxxxxxx,
                "isp": "联通",
                "location": "深圳",
                ..........
            },
            "role": 1
        },
        {
   
            "peerid": "XXXXXXXXXXXXXXXXX",
            .....
}

字段说明

terms[].peerid：设备唯一 ID

terms[].term.name：设备别名

terms[].term.status：设备在线状态，出现status则表示掉线

terms[].term.ip：大端序格式 → 需结合预处理转为十进制 IP

terms[].term.nic[].ipv4n：网卡 IP（大端序整数格式）

terms[].term.nic[].mac：原始 MAC → 需格式化为 XX:XX:XX:XX:XX

terms[].term.nbhttp/ nbhttps：「穿透工具A」对外 HTTP/HTTPS 端口

3.4 中转设备代理服务清单
GET/jdis/servicelist?
作用：列出每台设备代理的内网的服务及端口，供 LLD 用。

{
   
    "jd": [
        {
   
            "ip": 151038144,
            "dtype": 999,
            "status": 1,
            "name": "grafana",
            "ports": [
                3000
            ],
            "svs": [
                {
   
                    "port": 3000
                }
            ],
            "peerid": "XXXXXXXXXXXXXXXXXXX",
        },
        ......
    ]
}

字段说明

jd[].ip：大端序格式 → 需结合预处理转为十进制 IP

jd[].name：服务名称（如 grafana、DSM、路由器）

jd[].ports：端口数组，可一对多

jd[].status：1 = 正常运行

将以上 JSON 汇总后喂给 Zabbix LLD，即可实现 账号-设备-流量-服务 四维自动发现。

四、LLD 规则：让「穿透工具A」接口“自报家门”

通过几大核心 REST 接口数据得知，「穿透工具A」对内网穿透管理分为两个层级：一个是系统层级，即账号级流量；另一个是设备级别；因此结合 Zabbix LLD 规则，“系统级静态指标”用普通监控项，“设备级动态对象”用 LLD，即可支持多设备。

4.1 创建直流和中转流量监控项
4.1.1 账号当月使用流量
类型：HTTP agent
Key：flow.stat
URL：https://xxx.xxx.com/user/flow_stat
请求类型：POST
请求正文：{"uid":"{$UID}","owcode":"{$OWCODE}"}
请求头部：-H 'accept: application/json, text/plain, /' -H 'user-agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/139.0.0.0 Safari/537.36 Edg/139.0.0.0'
调试监控项

4.1.2 分离直流和中转数据
结合HTTP 代理采集回来的数据，我们可以自带相关项目方法关联它，单位是字节B。

然后通过预处理JSONPath
将这些JSON格式的数据轻松分离作为一个单独的监控项，好处就是减少采集次数，充分利用已有数据。

接着我们来验证一下，配置的参数是否正确，毕竟这是Zabbix UI给我们提供极简的scriptsless，无需通过手写scirpts即可完成debug。

观察最新采集的数据，中转和直流流量已正确识别出来。

对比「穿透工具A」控制台的流量数据。

4.2 创建内网穿透条目获取 LLD 规则
创建 LLD 规则的目标是暴露采集同类型不同规格的参数，为了减少对HTTP 代理的依赖，我们在创建LLD规则前，需要先建立一个普通的监控项。

4.2.1 内网穿透条目
类型：HTTP agent
Key：cfg.list
URL：https://xxx.xxx.com/ddns/cfg/list
请求类型：POST
请求正文：{"uid":"{$UID}","owcode":"{$OWCODE}"}
请求头部：-H 'accept: application/json, text/plain, /' -H 'user-agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/139.0.0.0 Safari/537.36 Edg/139.0.0.0'
调试监控项

4.2.2 内网穿透条目:条目发现
类型：相关项目
Key：cfg.discovery
主要项：内网穿透条目
暴露宏变量：{#NATID}
{#NATDOMAIN}
预处理（JavaScript 统一转换）暴露宏变量

var res = JSON.parse(value);
var lld = [];

res.datas.forEach(function(item){
   
    lld.push({
   
        "{#NATID}"    : item.id,
        "{#NATDOMAIN}"    : item.domain
    });
});

return JSON.stringify({
   data: lld});

老道理，同样通过测试步骤，输入RESP接口采集回来的JSON
数据进行加工测试，得到{"data":[{"{#NATID}":xxxx,"{#NATDOMAIN}":"xxxx.iepose.cn"}]}，如下图。

4.2.3 内网穿透条目:条目发现-监控项原型
在LLD 自动发现规则中创建监控项原型，才能继用它暴露的宏变量，这里演示如何获取穿透的内网地址。

类型：相关项目
Key：lanAddr[{#NATID}]
主要项：内网穿透条目
如下图所示：

结合预处理JSONPath和正则匹配$.datas[?(@.id=="{#NATID}")].lanAddr，成功匹配到内网代理IP和端口

查看最新采集的数据，内网协议，内网地址，映射开启状态均已显示。

对比「穿透工具A」控制台的内网穿透配置，完全一样！

4.3 创建中转设备绑定查询 LLD 规则
创建 LLD 规则的目标是暴露采集同类型不同规格的参数，为了减少对HTTP 代理的依赖，我们在创建LLD规则前，需要先建立一个普通的监控项。

4.3.1 中转设备管理
类型：HTTP agent
Key：bind.get
URL：https://xxx.xxx.com/jdis/bindget
请求：GET
查询字段：uid=xxx&owcode=xxx&product=2581&cache_ver=0.29773539924079817
请求头部：同理
调试监控项

4.3.1 中转设备管理:设备发现
类型：相关项目
Key：dev.discovery
主要项：内网设备管理
暴露宏变量：{#PEERID}
{#NAME}
预处理（JavaScript 统一转换）暴露宏变量

// 只遍历顶级 terms，每台设备生成 1 条发现记录

var lld = [];
var root = JSON.parse(value);

root.terms.forEach(function(node){
   
    var t = node.term;
    lld.push({
   
        "{#PEERID}"   : node.peerid,
        "{#NAME}"     : t.name
    });
});
return JSON.stringify({
   data: lld});

同样通过测试步骤，输入RESP接口采集回来的JSON
数据进行加工测试，得到{"data":[{"{#PEERID}":"xxx","{#NAME}":"xxx"},{"{#PEERID}":"xxx","{#NAME}":"xxx"}]}，如下图。

4.2.3 内网设备挂历:设备发现-监控项原型
在LLD 自动发现规则中创建监控项原型，才能继用它暴露的宏变量，这里演示如何获取穿透的公网IP。

类型：相关项目
Key：ip["{#NAME}"]
主要项：中转设备管理
如下图所示：

结合预处理JSONPath和正则匹配$.terms[?(@.peerid=="{#PEERID}")].term.ip，可获取到大端序的IP地址。

预处理（JavaScript 统一转换）

function intToIP(i){
   
    return [
    i & 0xFF,           // 最低字节 → 第 1 段
    (i >>> 8) & 0xFF,   // 次低字节 → 第 2 段
    (i >>> 16) & 0xFF,  // 次高字节 → 第 3 段
    (i >>> 24) & 0xFF   // 最高字节 → 第 4 段
     ].join('.');
}
return intToIP(parseInt(value));

再结合JavaScrips进行转换，可得出最终IP地址。

4.4 创建中转设备代理服务 LLD 规则
因篇幅原因，本节不做展开，和以上同理。

五、基于自动发现创建监控原型和触发器

5.1 一张图看懂监控纳管流程

「穿透工具A」 API
     │
     ├─ HTTP Agent → LLD 规则 → 生成宏 {
   #PEERID} {
   #NAME} {
   #NATDOMAIN} …
     │                    │
     │                    ├─ Item Prototype
     │                    ├─ Trigger Prototype
     │                    └─ Graph Prototype
     │
     └─ 新节点上线 → 自动纳入监控，无需人工干预

零侵入：无需在节点安装 Agent
零配置：节点增减自动发现
零费用：HTTP 代理 + 免费穿透工具即可落地
5.2 服务端口可用性原型
字段示例

Item Prototype Key ： net.tcp.service[tcp,{#SERVICEIP},{#SERVICEPORT}]

Trigger Prototype ： last(/OWJDXB by HTTP/net.tcp.service[tcp,{#SERVICEIP},{#SERVICEPORT}])=0

5.3 监控主机内存容量（GB）
实践得知，Linux和Docker系的「穿透工具A」客户可以获取宿主机的总内存和已用内存，指令类似free -m单位 MB ，需要通过预处理倍数 1024x1024进行转换，单位Units 填 B，因为Zabbix不支持MB。

5.4 动态 HTTP 监控
通过HTTP 代理我们还可以将内网穿透条目中的公网域名纳入监控，判断其标题如果出现：XX无法打开页面即表示网络或者客户端出现问题。

类型：HTTP 代理
Key：web.title.check[{#NATID}]
URL：{#PROTOCAL}://{#NATDOMAIN}
预处理：(?i)]>([^<])
5.5 自动发现及常规监控项总览

六、「穿透工具A」监控实战

6.1 添加「穿透工具A」监控
首次需登录「穿透工具」控制台，打开F12找到list链接，点击负载获取你的UID和OWCODE。

回到Zabbix添加主机，关联我们制作好的「穿透工具A」监控专用模板。

配置宏变量，其中·{零配置方案：Zabbix + HTTP 代理实现内网穿透工具的自动化管理_数据_21OWCODE}是前面获取的，{$PHONE}是你登录手机号。

6.2 配置监控看板和查看数据
在仪表盘中，我们添加TOP主机类型组件，即可得到多个账号多个设备在线状态、账号级的流量数据。后续结合Grafana，可扩展出更多的列表数据，如设备的出口IP，映射公网域名等。

6.3 查看及触发告警
中转设备代理的服务，即内网服务掉线则会发出告警：

中转设备掉线，通过HTTP 代理及JavaScrip匹配映射出来的DDNS条目(访问域名)进行实时访问的页面标题，判断是否在线。

七、总结

本文详尽介绍如何通过HTTP 代理结合预处理中的JSONPath和JavaScript，模拟浏览器将「穿透工具A」的REST接口返回的Json数据进行过滤和匹配，结合Zabbix LLD规则将多中转设备的数据纳管到监控原型中，实现一个都不能少的目标。

作为抛砖引玉，笔者选「穿透工具A」作为功能演示，提供一种零侵入、零配置的监控思路和实现方案。

笔者注：文中所提及的工具名称仅为示例，不代表任何特定品牌或产品；使用本文中的方法和技术时，请确保遵守相关法律法规和服务条款。