标签 内网穿透 下的文章

1. 现状:你的内网服务在公网“裸奔”吗?

如果你手里有几台云服务器或家里的 NAS ,大概率折腾过内网穿透。但你去翻翻 auth.log 或者 SSH 日志,你会发现世界充满了“恶意”:

  • frp 转发 22 端口: 刚开几分钟,就有成千上万个 IP 开始暴力破解。
  • Web 服务直出: 暴露个 GitLab 或 Jenkins ,只要有个未授权访问漏洞,全家桶就都没了。
  • VPN 的痛苦: WireGuard 确实快,但给非技术同事开账号、教他们配客户端,简直是运维噩梦。

我们需要的其实很简单:既要 frp 的便捷,又要 VPN 的安全,最好还能像访问正常网站一样,浏览器打开就能用。

2. 为什么说传统方案让你很累?

frp:它是通道,但不是防线

frp 的设计初衷是“连通性”,它只管把流量从 A 传到 B 。

  • 隐患: 它把内网服务直接推到了公网的枪口下。改端口、加 sk 验证确实能挡住一部分,但无法解决身份鉴权审计的问题。
  • 现状: 即使你改了端口,扫描器通过协议指纹依然能识别出你的服务。

VPN:安全,但“摩擦力”太大

VPN 是一道厚重的围墙,但进出这道墙太麻烦了。

  • 体验: 手机、平板、电脑,每个设备都要装客户端。断线重连、路由冲突是常态。
  • 风险: 典型的“一处破,处处破”。一旦 VPN 账号泄露,攻击者就拿到了内网的整张入场券。

3. 更现代的方案:Next Terminal 的零信任实践

作为 Next Terminal 的开发者,我在设计 Web 资产代理时,参考了 “零信任( Zero Trust )” 的思路。

核心逻辑只有一句话:先验证身份,再建立连接。

nt.png

它是如何工作的?

以往你访问 gitlab.example.com,请求是直接打到 GitLab 上的。现在,Next Terminal 充当了“安全网关”的角色:

  1. 流量拦截:所有指向内网 Web 服务的请求,先经过 Next Terminal 。
  2. 身份核验:如果用户没登录 Next Terminal ,直接被拦在门外,GitLab 根本感知不到任何请求。
  3. 动态授权:登录后,系统会检查:你是否有权限访问这个特定资产?
  4. 无感转发:验证通过后,你才能看到熟悉的 GitLab 界面。

4. 实战:3 分钟安全发布内网 GitLab

假设你内网 GitLab 跑在 192.168.1.10:80,你可以彻底告别 6000 这种奇怪的端口号。

第一步:开启反代

在 Next Terminal 配置文件中开启反代和 HTTPS (建议配合通配符证书):

App:
  ReverseProxy:
    Enabled: true
    HttpsEnabled: true
    SelfDomain: "nt.yourdomain.com"

第二步:添加 Web 资产

在 Web 界面点击“添加资产”,填写内部 IP 和你想要的域名(如 gitlab.yourdomain.com)。

第三步:授权与访问

把这个资产授权给指定的用户组。

现在的体验是: 你直接访问 https://gitlab.yourdomain.com

  • 没登录? 跳转到 NT 统一登录页。
  • 登录了? 直接进入 GitLab 。
  • 想看谁访问了? 后台审计日志一清二楚。

在线演示: https://baidu.typesafe.cn
(注:此域名模拟内网环境,登录 test/test 后即可自动跳转,感受无感代理的流程)

5. 进阶:多云、多机房的统一网关

如果你有多个机房(阿里云、腾讯云、家里、公司),传统的方案需要配置复杂的路由隧道。

Next Terminal 提供了一个“安全网关( Agent )”模式:

  1. 在各个内网环境跑一个轻量级 Agent 。
  2. Agent 会自动建立反向隧道回到 NT 主站。
  3. 你在主站配置资产时,选一下“所属网关”。

这样,无论服务在哪,你都只需要通过一个入口访问,而且不需要在路由器上做任何端口映射

总结

需求 frp VPN Next Terminal
访问门槛 极低 (扫端口即入) 高 (需客户端) 极低 (浏览器即用)
安全性 极强 (身份认证前置)
权限控制 粗粒度 (内网全通) 精细 (按人/按资产授权)
管理成本 分散 复杂 统一控制台

如果你已经厌倦了每天看 SSH 被爆破的日志,或者不想再为 VPN 掉线发愁,欢迎尝试 Next Terminal

官网: https://typesafe.cn

环境:
集群一:ABC 三台机器
集群二:DEF 三台机器
一台公网服务器 G

目标:
本机可以访问集群一或者集群二的服务。集群一和集群二之间隔离。

方案:
在 A 和 D 分别部署 ss 和 frpc ,公网机器 G 部署 frps 。这样就拿到了两个 ss 代理,windows 上通过 clash 来访问不同集群的服务。

结论:
我自己感觉这招不是很好,速度上可能有损耗。
我研究过 easytier ,发现有个限制,如果两个集群都是同一个网段,存在冲突,就必须要设虚拟 IP ,没法使用机器本身的 IP 了。
有没有推荐的其他方案呢?可以让我畅快切换到多个不同的内网环境。

最近 AI coding 能力突飞猛进,距离之前发布 NovaAccess 这个无需 VPN 连接 Tailscale 内网的 SSH 服务器已经有几个月,于是新年伊始,抽了点时间继续 Vibe Coding 了一把。

这个 App 除了网络连接这块有部分手写外,之前的版本以及包括这个版本大部分都是 Vibe Coding 得来,作为一个系统程序员,AI 的进展实在是突飞猛进,建议尽快拥抱。

免费功能(更新):

  • 升级 SwiftTerm 这个依赖,优化 Terminal Emulator 体验,重新设计了用来输入 modifier 等内容的辅助按键
  • 支持自定义认证服务器,作为 xEdge 的开发和运营者,这个还是非常需要的
  • UI/UX 重新设计,相比之前版本,个人认为有所提升,仁者见仁啦,轻喷

付费功能(新增):

  • 支持 SFTP 文件管理,支持在线编辑和预览等功能
  • 支持 Web 访问,直接可以访问 Tailnet 内部的网络服务(不过俺试了 Jellyfin 的播放一直有点卡顿,但似乎 vpn+chrome 也是这个体验,可能还有潜在问题,需要后面再研究解决)
  • 支持 Monitoring Linux host ,基于 proc 文件系统,不需要也不会额外安装软件
  • 支持多 Tailnet ,官方+自建等各种组合

话不多说,lifetime 码子在二楼,有需要的自取,注意拿走后烦请回复一下帖子,避免浪费有需要的朋友

附:

  1. App 下载链接: https://apps.apple.com/us/app/novaaccess-tailnet-tools/id6749938291
  2. App 开发背景相关的原始帖子: https://global.v2ex.com/t/1153035

人在大马,需要经常访问国内家里的服务器(无公网 ip )
手上还有一台香港 CN2 机器
预期是手上的各种移动设备都能无缝访问内网,所以用上了 tailscale
目前尝试的方案:
大马——tailscale p2p——内网:可以打洞成功,但晚高峰几乎不可用
大马——tailscale——香港,香港 frps——hy2——内网 frpc:小火箭直接连 hy2 节点是正常的,但加入 tailscale 后就不行了,涉及到透明代理,折腾一下午没搞定,放弃
大马——tailscale——香港自建 derp+peer relay ——内网:可用,但不稳定,经常存在过一段时间不可用的情况

大马——tailscale——香港,香港 frpc——openvpn——内网 frps:这是多天尝试下来最好用的方案,但 openvpn 容易被识别,担心用两天就被封了

问 ai 也没啥好方案,求大佬们支招

方案概述

本方案利用 Cloudflare 的 Zero Trust(原 Cloudflare Access)和 Cloudflare Tunnel(原 Argo Tunnel)功能,实现内网服务的安全访问。

通过配置安全认证和基于 Cloudflare Worker 的动态 IP 白名单,确保只有授权用户能够访问内网资源,同时适配不支持认证的客户端。

前期准备

  • Cloudflare 账号及域名

  • Docker 环境(可选)

  • npm 环境(用于部署 Worker 脚本)

一、配置 Cloudflare Tunnel

1. 创建隧道

  1. 登录 Cloudflare 控制台,选择 Zero Trust

  2. 导航到 网络 > 连接器

  3. 选择 创建隧道 > 选择 Cloudflared > 填入名称 > 保存隧道

2. 启动隧道

网页会提供一段启动命令,复制并在内网服务器上执行。默认显示 Windows,可切换至 Mac、Debian、Red Hat、Docker 等系统。

Docker Compose 方式:

 services: cloudflared:  cloudflare/cloudflared:latest container_name: cloudflared restart: unless-stopped command: tunnel --no-autoupdate run --token <YOUR_TUNNEL_TOKEN>

3. 配置路由

选择 路由隧道 / 已发布应用程序路由 添加路由,填写子域名和内网服务地址(如 http://localhost:8080)。

注意: 直接填写内网服务地址,不要经过 nginx 等代理。

二、配置 Cloudflare Access 安全认证

1. 创建应用程序

  1. 导航到 Zero Trust > 访问控制 > 应用程序 > 添加应用程序

  2. 输入应用名称

  3. 添加公共主机名(即上一步配置的子域名)

2. 创建访问策略

  1. 选择 创建新策略,输入策略名称

  2. 操作选择 允许

  3. 选择器类型选择 电子邮件

  4. 输入允许访问的用户邮箱(可根据需要选择其他认证方式)

  5. 保存策略

提示: 不支持认证的客户端应用的处理办法将在后续章节介绍。

3. 关联策略

回到应用程序页面,选择现有策略,关联刚创建的策略。

完成配置后,访问该子域名时会被重定向到 Cloudflare 的认证页面,只有通过认证的用户才能访问内网服务。

三、配置动态 IP 白名单(可选)

3.1 适用场景

如果应用程序不支持 Cloudflare Access 认证,或者频繁认证不便,可以通过 Cloudflare Worker 实现动态 IP 白名单功能。

3.2 部署项目

使用项目 cloudflare_dynamic_ip_list 来实现动态 IP 白名单功能。

3.2.1 克隆项目


git clone https://github.com/AinzRimuru/cloudflare_dynamic_ip_list.git

3.2.2 创建 KV Namespace

运行以下命令创建 KV 命名空间,用于维护 IP 的过期状态:


wrangler kv namespace create IP_WHITELIST

记下返回的 ID,填入 wrangler.toml[[kv_namespaces]] 部分的 id 字段。

3.2.3 创建 IP 列表

  1. 打开 Zero Trust > 可重用组件 > 列表 > 创建列表

  2. 创建后记下列表 ID(点开 List 页面,在 URL 中可以看到 ID,形如 ********-****-****-****-************

  3. 将该 ID 填入 wrangler.toml[vars] 部分的 LIST_ID 字段

3.2.4 获取 Account ID

  1. 打开 计算和 AI > Workers 和 Pages

  2. 在右边可以看到 Account Details

  3. 记下 Account ID,填入 wrangler.toml 中的 ACCOUNT_ID 字段

3.2.5 配置允许的域名(可选)

如果配置了新域名,且希望仅允许该域名访问,可以在 wrangler.toml[vars] 部分的 ALLOWED_HOSTS 字段添加域名,多个域名用逗号分隔。

如果不配置该字段,则允许所有域名访问。

3.2.6 部署 Worker 脚本


npx wrangler login

npx wrangler deploy --config config/wrangler.toml

3.3 配置白名单的 Bypass 策略

  1. 在 Cloudflare 控制台,导航到 Zero Trust > 访问控制 > 策略

  2. 创建新策略,名称自定义

  3. 操作选择 BYPASS

  4. 选择器类型选择 IP List,值为刚创建的 List 名称

  5. 保存策略

关联策略: 将策略添加到刚刚创建的应用程序中,排名第 1 位。这样,IP 在白名单中的请求将绕过认证直接访问内网服务。

3.4 IP 白名单的注册鉴权(Token 方式)

3.4.1 创建服务凭据

  1. 选择 Zero Trust > 访问控制 > 服务凭据 > 创建凭据

  2. 输入名称,创建后记下 Client IDClient Secret

3.4.2 创建 Worker 应用程序

  1. 新建应用程序,名称自定义

  2. 公共主机名填写 Worker 脚本的域名(如 your-worker.your-domain.com

3.4.3 创建 SERVICE AUTH 策略

  1. 创建新策略,名称自定义

  2. 操作选择 SERVICE AUTH

  3. 选择器类型选择 Service Token,值为刚创建的服务凭据名称

  4. 保存策略

3.4.4 关联策略

回到 Worker 的应用程序页面,选择现有策略,关联刚创建的策略。

3.5 IP 白名单的注册鉴权(Email 方式)

  1. 创建新策略,名称自定义

  2. 操作选择 Allow

  3. 选择器类型选择 Emails,值为允许注册的邮箱地址(可添加多个)

  4. 保存策略后,回到 Worker 的应用程序页面,关联刚创建的策略

3.6 使用说明

  • 浏览器访问 Worker 脚本的域名,完成认证后,IP 将被添加到白名单中,且在指定时间内有效。

  • 对于不支持认证的客户端应用,可使用自动化任务(如 iOS 的快捷指令等)配置 CF-Access-Client-IdCF-Access-Client-Secret 请求头,实现自动认证。

注意: 自动化任务可能无法指定请求时的 IPv4/IPv6 地址,因此可以尝试重复请求多次以确保 IPv4 和 IPv6 地址均被添加到白名单中。

这些是全部的内容了,但还是希望能够来博客看看。基于 Cloudflare 的内网穿透解决方案(含安全认证及动态 IP 白名单)

📌 转载信息
原作者:
RimuruTempest
转载时间:
2026/1/18 08:51:32

🚀 懒猫微服 2026 新年抽奖:总价值 19000 元好礼回馈 V 友!

感谢各位 V 友在 2025 年对「懒猫微服」的支持!过去一年,我们的内网穿透技术云端微信方案得到了不少朋友的认可。为了回馈社区,新年开启两轮抽奖活动,总价值约 19000 元

历史抽奖贴一,490+参加

历史抽奖贴二,500+参加

🔗 官方阵地

🎁 活动奖品清单(总价值 19000 元)

奖项 奖品内容 名额
一等奖 价值 8899 元 「懒猫微服」 LC-02 (32G+8T) 创始珍藏版 1 名
二等奖 CHERRY MX1.1 茶轴机械键盘 + 300 元 LC03 购机券 5 名
三等奖 700 元 LC02 新年购机券 10 名

📅 活动时间与节奏:第二轮

  • 活动时间:1.13 - 1.16
  • 本轮奖品:一等奖 × 1 、 二等奖 × 2 、三等奖 × 5
  • 开奖时间1 月 16 日 (周五) 20:00

📝 如何参加(必读)

本次活动主要基于推特联动及微信群公示,请按以下步骤操作:

  1. 互动评论:评论区留言:懒猫微服,内网穿透真丝滑,远程微信能多开,新年抽奖送好礼!
  2. 进交流群(硬性要求)必须加入微信交流群才有中奖资格。请添加工作人员微信(lanmaoweifu),备注“V2EX”进群。

💡 特别提醒

  • 资格验证:中奖后需提供本帖评论参与截图主页截图进行验证。
  • 公平公正:使用开源抽奖工具打乱名单,结果第一时间在微信群公布。
  • 有效期:中奖后请在 3 个工作日内联系领奖。
  • 全球包邮:购买或中奖产品均发 UPS 红牌,全球约 3 天送达。

🛒 购买渠道

如果您急于上手或想了解更多:

  • 专属优惠:加微信备注“新年优惠”获取最新折扣。
  • 购买链接京东购买 | 海外购买
  • 专属小程序咨询:17820700354, 17612774028, 18627819480, 18627819427

:名单统计以 V2EX ID 为准,每人限中奖一次。

Hacker Flag 5pqX5Y+3OiBEb24ndCBQYW5pY++8jOWKoDE3ODIwNzAwMzU077yM5Lqr5Y+X5pu05aSn5LyY5oOgCg==

活动图

发一个内网端口穿透工具,
https://tunneling.cc/#download

家里有 NAS 、自建服务,想随时随地访问的人
运维/开发经常需要对外临时暴露测试环境的人
追求配置一次、长期稳定的人
不想每个内网设备都装客户端的人
祝大家内网穿透从此不再痛苦,远程访问一路丝滑!🚀

人在大马,需要经常访问国内家里的服务器(无公网 ip )
手上还有一台香港 CN2 机器
预期是手上的各种移动设备都能无缝访问内网,所以用上了 tailscale
目前尝试的方案:
大马——tailscale p2p——内网:可以打洞成功,但晚高峰几乎不可用
大马——tailscale——香港,香港 frps——hy2——内网 frpc:小火箭直接连 hy2 节点是正常的,但加入 tailscale 后就不行了,涉及到透明代理,折腾一下午没搞定,放弃
大马——tailscale——香港自建 derp+peer relay ——内网:可用,但不稳定,经常存在过一段时间不可用的情况

大马——tailscale——香港,香港 frpc——openvpn——内网 frps:这是多天尝试下来最好用的方案,但 openvpn 容易被识别,担心用两天就被封了

问 ai 也没啥好方案,求大佬们支招

感谢各位 V 友在 2025 年对「懒猫微服」的支持 历史帖子 。过去一年,我们的内网穿透技术云端微信方案得到了不少朋友的认可。为了回馈社区,新年开启两轮抽奖活动,总价值约 19000 元!

🚀 关于懒猫微服

官方网站: lazycat.cloud

创始人博客: manateelazycat

社交媒体: X @manateelazycat

🎁 活动奖品清单(总价值 19000 元)

  • 一等奖 :价值 8899 元「懒猫微服」 LC-02 (32G+8T) * 1 (创始珍藏版)
  • 二等奖 :CHERRY MX1.1 茶轴机械键盘 + 300 元 LC03 购机券 * 5
  • 三等奖 :700 元 LC02 新年购机券 * 10

📅 活动时间与节奏

活动分两轮进行,名单在每轮结束后清零重新统计:

第一轮 (1.9 - 1.13)

  • 奖品:二等奖 x 3三等奖 x 5
  • 开奖:1 月 13 日 (周二) 20:00

第二轮 (1.13 - 1.16)

  • 奖品:一等奖 x 1二等奖 x 2三等奖 x 5
  • 开奖:1 月 16 日 (周五) 20:00

📝 如何参加(必读)

本次活动主要基于推特联动及微信群公示,请按以下步骤操作:

  1. 互动评论:评论区留言 懒猫微服,内网穿透真丝滑,远程微信能多开,新年抽奖送好礼!
  2. 进交流群必须加入微信交流群才有中奖资格。请添加工作人员微信(lanmaoweifu),备注“V2EX”进群。

💡 特别提醒

  • 资格验证:中奖后需提供本帖评论参与截图主页截图进行验证。
  • 公平公正:使用开源抽奖工具打乱名单,结果第一时间在微信群公布。
  • 有效期:中奖后请在 3 个工作日内联系领奖。
  • 全球包邮:购买或中奖产品均发 UPS 红牌,全球约 3 天送达。

🛒 购买渠道

如果您急于上手或想了解更多:

  • 专属优惠:加微信备注“新年优惠”获取最新折扣。
  • 购买链接京东 或者 海外 或者 加微信享受专属小程序优惠: 17820700354

:名单统计以 V2EX ID 为准,每人限中奖一次。

人在大马,需要经常访问国内家里的服务器(无公网 ip )
手上还有一台香港 CN2 机器
预期是手上的各种移动设备都能无缝访问内网,所以用上了 tailscale
目前尝试的方案:
大马——tailscale p2p——内网:可以打洞成功,但晚高峰几乎不可用
大马——tailscale——香港,香港 frps——hy2——内网 frpc:小火箭直接连 hy2 节点是正常的,但加入 tailscale 后就不行了,涉及到透明代理,折腾一下午没搞定,放弃
大马——tailscale——香港自建 derp+peer relay ——内网:可用,但不稳定,经常存在过一段时间不可用的情况

大马——tailscale——香港,香港 frpc——openvpn——内网 frps:这是多天尝试下来最好用的方案,但 openvpn 容易被识别,担心用两天就被封了

问 ai 也没啥好方案,求大佬们支招

年终福利,送 50 个内网穿透会员,祝大家 2026 发大财

白银会员介绍

  • 隧道限速 12 Mbps
  • 隧道数量 10 条
  • 可用流量 2.4 T 流量
  • 时长 12 个月

实名说明

不强制实名,但是会有些差别

区别 未实名 已实名
HTTP(S) 未认证的 IP 请求将被拒绝访问 无限制
TCP WEB 应用需要 IP 认证,非 WEB 无限制 无限制
UDP 无限制 无限制

参与方式

https://natnps.com 注册或登录后,在个人中心,查看账户 UID ,发到评论区,我会在评论中的前 50 个 UID 送出会员

image.png

提前叠甲:雨云 aff 很疯狂,但本文无 aff。
使用该方法搭建的 frp 速度在 100 mbps 左右。

一、登录雨云领取初始积分

加入 Q 群 → 我爱雨云
关注 B 站 → 雨云爱你
关注淘宝 → 成功加入

二、领取游戏云、配置 frp

在积分商城里可以很容易的买到 E5 入门版游戏云,无货的话等刷新就好。
在 NAT 端口映射管理界面配置至少 2 个端口(一个用于 FRP 服务,一个用于要暴露的内网服务)

雨云无限白嫖 FRP 服务器攻略(无 aff)1


然后进入控制台

雨云无限白嫖 FRP 服务器攻略(无 aff)2


除了 启动脚本外的内容都可以删掉,再上传 frps、frps.toml
https://github.com/fatedier/frp/releases/download/v0.65.0/frp_0.65.0_linux_amd64.tar.gz

雨云无限白嫖 FRP 服务器攻略(无 aff)3


这一步建议用 SFTP 工具来操作,因为自带的文件管理上传大文件很容易失败。
启动脚本的内容如下

./frps -c frps.toml

frps.toml 内容如下

bindPort = 10000 auth.token = "passwd"

端口就写前面映射的端口,再设置个密码防止被人白嫖。
如果只有自己用的话不建议用 frpc 直接暴露内网服务,建议 frpc 暴露 easytier。

三、自动签到、续费

github 上有现成的自动签到,不过部署起来比较麻烦,我这里改了个 docker 版本,可以一键构建镜像部署。
续费的话用官方的 api ,替换 api key 和 服务器 id 即可。

curl --location --request POST 'https://api.v2.rainyun.com/product/point_renew' \
--header 'x-api-key: key' \

--header 'Content-Type: application/json' \

--data-raw '{
    "duration_day": 7,
    "product_id": id,
    "product_type": "rgs"
}'

📌 转载信息
原作者:
fatekey
转载时间:
2025/12/30 18:18:48