Centos7下端口服务如何跨机房安全访问?除过ssh隧道的方式,本次来看看frp如何安全地暴露内网服务!

2022-01-17 08:32:43 浏览数 (1)

前言

前面几篇文章介绍了如何使用celery解决耗时任务的问题,本次我又碰到了一个需要跨机房端口服务的问题。

一般以前我是采用ssh -L的隧道方式来映射端口服务到本地来处理。

本章节来使用frp开源库来试用一下。但是frp目前也是处于开源测试阶段,不过暂时使用起来感觉还好,下面来开始介绍一下。

frp介绍

frp 是一个可用于内网穿透的高性能的反向代理应用,支持 tcp, udp 协议,为 http 和 https 应用协议提供了额外的能力,且尝试性支持了点对点穿透。

frp的Github中文文档

https://github.com/fatedier/frp/blob/master/README_zh.md

需求场景

目前我有一个双机房访问同一个redis服务端口号的场景,如果直接将redis的服务端口暴露在公网提供服务是一种很不安全的方式。

但是又需要将一个机房的redis服务端口打通到另一个机房进行访问。下面来看看怎么处理。

拓扑图

对于这个需求场景,首先根据上面的这个拓扑图进行部署构建。主要采用frp中的安全地暴露内网服务的步骤进行处理。

  • 可以直接查阅文档,访问安全地暴露内网服务的文档

安装frp

首先需要在两台Centos7的系统上安装frp。可以访问从 Release 页面下载最新版本的程序。

当前的最新版本:v0.29.1

下载frp

登陆其中一台服务器,下载frp如下:

代码语言:javascript复制
wget https://github.com/fatedier/frp/releases/download/v0.29.1/frp_0.29.1_linux_amd64.tar.gz

解压并运行frps

代码语言:javascript复制
# 解压frp安装包
tar -zxvf frp_0.29.1_linux_amd64.tar.gz
# 进入解压包
cd frp_0.29.1_linux_amd64/
# 启动frp服务
./frps -c frps.ini

默认启动后的日志如下:

代码语言:javascript复制
[root@server01 frp_0.29.1_linux_amd64]# ./frps -c frps.ini
2019/11/06 19:35:57 [I] [service.go:141] frps tcp listen on 0.0.0.0:7000
2019/11/06 19:35:57 [I] [root.go:205] start frps success

可以看到默认启动监听7000的端口号。

默认启动的配置文件frps.ini如下:

代码语言:javascript复制
[root@server01 frp_0.29.1_linux_amd64]# cat frps.ini
[common]
bind_port = 7000
[root@server01 frp_0.29.1_linux_amd64]#

安全地暴露内网redis服务

使用 stcp(secret tcp) 类型的代理可以避免让任何人都能访问到要穿透的服务,但是访问者也需要运行另外一个 frpc。

以下示例将会创建一个只有自己能访问到的 redis 服务代理。

在server01服务器,启动frps服务

代码语言:javascript复制
./frps -c frps.ini

在server01服务器,启动 frpc,转发内网的 redis 服务,配置如下,不需要指定远程端口:

代码语言:javascript复制
# vim frpc.ini

[common]
server_addr = 127.0.0.1
server_port = 7000

[secret_redis]
type = stcp
# 只有 sk 一致的用户才能访问到此服务
sk = abcdefg
local_ip = 127.0.0.1
local_port = 6379

启动frpc,如下:

代码语言:javascript复制
[root@server01 frp_0.29.1_linux_amd64]# ./frpc -c ./frpc.ini
2019/11/06 19:55:51 [I] [service.go:249] [20ccbb1705b307fc] login to server success, get run id [20ccbb1705b307fc], server udp port [0]
2019/11/06 19:55:51 [I] [proxy_manager.go:144] [20ccbb1705b307fc] proxy added: [secret_redis]
2019/11/06 19:55:51 [I] [control.go:164] [20ccbb1705b307fc] [secret_redis] start proxy success

另外,要注意server01的安全组要放行7000端口提供外部server02访问。

在要访问这个服务的机器server02上启动另外一个 frpc,配置如下:

代码语言:javascript复制
[root@server02 frp_0.29.1_linux_amd64]# vim frpc.ini

[common]
server_addr = x.x.x.x # 配置server01提供服务的公网IP地址
server_port = 7000

[secret_redis_visitor]
type = stcp
# stcp 的访问者
role = visitor
# 要访问的 stcp 代理的名字
server_name = secret_redis
sk = abcdefg
# 绑定本地端口用于访问 redis 服务
bind_addr = 127.0.0.1
bind_port = 6379

启动frpc,如下:

代码语言:javascript复制
[root@server02 frp_0.29.1_linux_amd64]# ./frpc -c ./frpc.ini
2019/11/06 20:30:13 [I] [service.go:249] [da9b4dcd948edb10] login to server success, get run id [da9b4dcd948edb10], server udp port [0]
2019/11/06 20:30:13 [I] [visitor_manager.go:74] [da9b4dcd948edb10] start visitor success
2019/11/06 20:30:13 [I] [visitor_manager.go:118] [da9b4dcd948edb10] visitor added: [secret_redis_visitor]

测试穿透的端口服务

在server02服务器,测试redis的6379端口号是否绑定正常,如下:

代码语言:javascript复制
[root@server02 opt]# nc -vv 127.0.0.1 6379
Ncat: Version 7.50 ( https://nmap.org/ncat )
NCAT DEBUG: Using system default trusted CA certificates and those in /usr/share/ncat/ca-bundle.crt.
NCAT DEBUG: Unable to load trusted CA certificates from /usr/share/ncat/ca-bundle.crt: error:02001002:system library:fopen:No such file or directory
libnsock nsi_new2(): nsi_new (IOD #1)
libnsock nsock_connect_tcp(): TCP connection requested to 127.0.0.1:6379 (IOD #1) EID 8
libnsock nsock_trace_handler_callback(): Callback: CONNECT SUCCESS for EID 8 [127.0.0.1:6379]
Ncat: Connected to 127.0.0.1:6379.
libnsock nsi_new2(): nsi_new (IOD #2)
libnsock nsock_read(): Read request from IOD #1 [127.0.0.1:6379] (timeout: -1ms) EID 18
libnsock nsock_readbytes(): Read request for 0 bytes from IOD #2 [peer unspecified] EID 26

查看6379端口号对应的服务,如下:

代码语言:javascript复制
[root@server02 redis-stable]# netstat -tunlp | grep 6379
tcp        0      0 127.0.0.1:6379          0.0.0.0:*               LISTEN      21795/./frpc
[root@server02 redis-stable]#

在server01服务器查看frp日志显示如下:

可以看到有一个连接成功接入。

在server02访问绑定的redis 6379服务,如下:

代码语言:javascript复制
[root@server02 ~]# redis-cli
127.0.0.1:6379> select 7
OK
127.0.0.1:6379[7]> KEYS &
(empty list or set)
127.0.0.1:6379[7]> KEYS *
 1) "task_info_207"
 2) ":1:django.contrib.sessions.cachewxv18olb5bzbckss3e9dndqy381ieiym"
 3) "task_info_882"
 4) "task_info_684"
 5) ":1:django.contrib.sessions.cachexy8g39n7hh2i6awnqj37xauo45ewwz0y"
 6) "task_info_661"
 7) "tc_locusts_ip"
 8) ":1:django.contrib.sessions.cacheckpnxdk6nke1bvieujbh02plfsp39icx"

可以看到frpc很好地帮我将server01的redis服务打通到了server02上。上面在redis上查询到的数据就是server01上存储的。

0 人点赞