内网穿透 on Liangweidong's blog

反向代理 6 巨头 + 内网穿透双雄：从 Nginx/Tengine 健康检查到全场景工具横评

Wed, 15 Apr 2026 00:00:00 +0800

写于 2026 年 4 月的回望

做博客 14 年，第一次把"反向代理 + 内网穿透"合并到一篇文章里——不是因为它们逻辑上多紧密，而是因为在写代码、跑业务、对外服务这条链路上，这两类工具几乎总是成对出现：你先要有个公网入口（反代 + 四层代理），再考虑内网服务怎么被访问（内网穿透）。入口打不通，内网穿透也无处发力。

本文是 0.7 批次"架构实战"系列的一篇，合并源文档 9 篇（其中 3 篇有实战内容、6 篇仅有工具骨架），目标是给读者一份可立即拿去选型的横评 + 实战手册。

全文目录

一、为什么需要反向代理？3 个真实场景
二、6 款主流反代工具特性横评
三、Nginx 与 Tengine：编译安装 + 健康检查实战（基于源文档深度展开）
四、Stream 四层代理：主动检查 vs 被动检查的踩坑点
五、内网穿透双雄：frp 与 cpolar 选型
六、选型矩阵：按业务场景一图看懂
七、常见 8 个坑点速查

一、为什么需要反向代理？3 个真实场景

反向代理（Reverse Proxy） 站在客户端与真实服务器之间，客户端只看到代理的地址，永远不知道后端有几台机器。在生产环境里，反向代理通常承担三类职责：

统一入口 + 域名路由：把 a.example.com、b.example.com 解析到同一个入口，按 Host 头转发到不同后端
TLS 终结 + HTTPS 加速：所有证书/加解密在反代层完成，后端只跑明文 HTTP，省 CPU 省证书
负载均衡 + 健康检查：检测后端故障、自动剔除/恢复

在微服务、Service Mesh、API 网关场景里，反代还承担动态路由、灰度发布、限流熔断等高级职责——这正是 Caddy、Traefik、Envoy、BFE 竞相入场的原因。

二、6 款主流反代工具特性横评

工具	出品方 / 协议	核心定位	配置风格	动态生效	四层代理	生态优势
Nginx	F5 / BSD-2	HTTP 反代事实标准	静态 conf + reload	需 reload	stream 模块	模块生态最丰富
Tengine	阿里 / BSD-2	Nginx 增强 + 通用 API 网关	兼容 Nginx + 动态配置	支持域名/证书/路由动态生效	stream + UDP bypass	双 11 验证 + Ingress 标注
Caddy	个人作者 / Apache-2	自动 HTTPS + 极简配置	Caddyfile / JSON	reload（零停机）	需 reverse_proxy + layer4 插件	自动 ACME、HTTP/3 默认开
Traefik	Traefik Labs / MIT	云原生动态反代	动态发现（Docker/K8s）	热加载（监听 provider）	需 entrypoints TCP	K8s Ingress 一等公民
Envoy	Lyft/CNCF / Apache-2	Service Mesh 数据面	YAML/JSON xDS	xDS 热推送	原生 L4/L7	Istio 默认 sidecar
BFE	百度 / Apache-2	大流量七层网关	类 Nginx conf	动态配置	支持七层 + 部分四层	百度搜索/地图规模验证

工具生态位速读

Nginx / Tengine：做"经典反代"——nginx.conf 写好、reload 完事，适合中小规模、配置不频繁变化的场景
Caddy：做"个人/小团队站点"——默认自动 HTTPS，省心，配置文件 5 行就能跑
Traefik：做"K8s/容器编排动态反代"——监听 Docker/K8s 标签自动生成路由
Envoy：做"Service Mesh 数据面"——xDS 协议动态下发配置，Istio 默认用它
BFE：做"超大流量七层网关"——百度搜索级别流量验证，国内大厂可选

三、Nginx 与 Tengine：编译安装 + 健康检查实战

本节是源文档里有完整实战内容的部分，逐行引用并补全注释。

3.1 编译选项对比

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12


# Nginx 1.24 编译（Debian/Ubuntu 风格）
./configure \
 --prefix=/usr/local/nginx \
 --with-http_ssl_module \
 --with-http_stub_status_module \
 --with-pcre \
 --with-http_gzip_static_module \
 --with-stream \
 --with-stream_ssl_module \
 --add-module=../nginx_upstream_check_module

make && make install

 1
 2
 3
 4
 5
 6
 7
 8
 9
10


# Tengine 3.1 编译（额外启用 HTTP/2、realip、upstream_check）
./configure \
 --prefix=/usr/local/nginx \
 --with-http_ssl_module \
 --with-http_v2_module \
 --with-stream \
 --with-stream_ssl_module \
 --with-http_realip_module \
 --with-http_gzip_static_module \
 --add-module=../nginx_upstream_check_module

Tengine 在 Nginx 1.24 基础上额外提供（源文档原文特性清单）：

HTTP/3 支持（QUIC v1 与 draft-29）
基于 header / cookie / query / 服务权重的高级路由，动态无损生效
配置分域名 TLS 多版本、timeout、强制 HTTPS、CORS、robots 动态生效
bypass 内核的用户态 UDP 转发（xUDP），性能远高于内核 UDP
流式上传到后端 / FastCGI
异步 OpenSSL，可对接 QAT 硬件加速
更强大的负载均衡：一致性 hash、会话保持、主动健康检查、动态 upstream 域名解析
CSS/JS 合并、空白字符去除、内存监控、CPU 亲缘性自动绑定

3.2 迁移原 Nginx 到 Tengine

源文档提供了一套保留证书与 conf 的安全迁移流程：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23


# 1. 备份
mkdir -p /backup
rsync -av /usr/local/nginx/conf/cert /backup/
rsync -av /usr/local/nginx/conf/nginx.conf /backup/

# 2. 停止原服务（如有 HAProxy/keepalived 协同）
systemctl stop keepalived
systemctl stop nginx
systemctl stop nginxwebui

# 3. 卸载旧版
rm -rf /usr/local/nginx

# 4. 安装 Tengine（编译步骤见 3.1）

# 5. 还原备份
rsync -av --force /backup/nginx.conf /usr/local/nginx/conf/
rsync -av /backup/cert /usr/local/nginx/conf/

# 6. 启动
systemctl start keepalived
systemctl start nginx
systemctl start nginxwebui

关键点：Tengine 完全兼容 Nginx 配置，所以可以直接复用 nginx.conf 与证书目录。--force 标志在还原时避免 rsync 因目标存在而拒绝覆盖。

四、Stream 四层代理：主动检查 vs 被动检查的踩坑点

源文档反复强调的一条铁律：

注意：这个模块（nginx_upstream_check_module）只能支持 HTTP，不支持 stream；且被动检查不能和主动检查同时使用。

4.1 主动健康检查（仅 HTTP）

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17


http {
 upstream backend_http {
 server {{BACKEND_1}}:8080;
 server {{BACKEND_2}}:8080;
 check type=http;
 check interval=5000 rise=2 fall=3 timeout=2000;
 check_http_send "GET /health HTTP/1.0\r\nHost: example.com\r\n\r\n";
 check_http_expect_alive http_2xx;
 }

 server {
 listen 80;
 location / {
 proxy_pass http://backend_http;
 }
 }
}

参数含义（源文档原文）：

interval：调用间隔（毫秒）
rise：连续成功多少次后标记存活
fall：连续失败多少次后摘除
timeout：单次检查超时

4.2 被动健康检查（stream 块）

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16


stream {
 upstream backend_tcp {
 server {{MQTT_NODE_1}}:1883 fail_timeout=30s max_fails=3;
 server {{MQTT_NODE_2}}:1883 fail_timeout=30s max_fails=3;
 server {{MQTT_NODE_3}}:1883 fail_timeout=30s max_fails=3;
 server {{MQTT_NODE_4}}:1883 fail_timeout=30s max_fails=3;
 server {{MQTT_NODE_5}}:1883 fail_timeout=30s max_fails=3;
 server {{MQTT_NODE_6}}:1883 fail_timeout=30s max_fails=3;
 keepalive 32;
 }

 server {
 listen 1883;
 proxy_pass backend_tcp;
 }
}

被动检查的语义：客户端连接失败 3 次（max_fails=3）后，30 秒内不再向该后端转发——完全由"连接失败"驱动，不需要主动探测。

4.3 主动 vs 被动：什么时候用哪个？

维度	主动检查	被动检查
适用协议	HTTP（仅）	TCP/UDP/任意四层
检查方式	定期 GET 健康路径	客户端连接失败计数
摘除速度	`interval` 周期级	30s 内响应
副作用	后端会收到"无意义的健康探测"	零副作用
踩坑点	不能与被动同时用	必须配置 `max_fails`

结论：HTTP 反代用主动（拿到 2xx 200 状态才算健康）；stream / MQTT / 数据库连接池用被动（主动检查模块不支持 stream）。

4.4 主动检查可视化（Nginx 自带状态页）

1
2
3
4
5
6


# 启动两个测试后端
docker run -d --name nginx1 --restart=always -p {{PORT_HTTP_1}}:80 nginx:latest
docker run -d --name nginx2 --restart=always -p {{PORT_HTTP_2}}:80 nginx:latest

# 访问状态页
curl http://{{STATUS_HOST}}:{{STATUS_PORT}}/status

输出示例（源文档原文截图对应文字）：

1
2
3
4
5


Nginx http upstream check status
Check upstream server number: 2, generation: 1
Index Upstream Name Status Rise counts Fall counts Check type Check port
0 cluster {{HOST}}:{{PORT_HTTP_1}} up 2 0 tcp 0
1 cluster {{HOST}}:{{PORT_HTTP_2}} up 2 0 tcp 0

停掉一个后端（docker stop nginx1），状态页会显示 down + Fall counts 递增；两个全挂后服务直接 502——这就是 source 文档实测的"主动检查 + 服务降级"行为。

五、内网穿透双雄：frp 与 cpolar 选型

内网穿透解决"没有公网 IP 时，怎么让外部访问内网服务“的问题。市面上有两类典型玩家：

frp（fast reverse proxy）：开源、自建、需要一台公网 VPS 当中转
cpolar：商业化、零配置、官方中转服务器（有公网域名）

5.1 frp / frpc 速读

维度	详情
协议	TCP / UDP / HTTP / HTTPS / QUIC
客户端	frpc（运行在内网机器）
服务端	frps（运行在公网 VPS）
配置格式	INI（v0.50 之前）/ TOML（v0.50+）
鉴权	token + TLS 可选
性能	公网 VPS 带宽上限
部署成本	需要 1 台公网 VPS（最低配置 1C1G）

典型 frpc 配置文件片段（公开文档参考）：

1
2
3
4
5
6
7
8
9


serverAddr = "x.x.x.x"
serverPort = 7000

[[proxies]]
name = "ssh"
type = "tcp"
localIP = "127.0.0.1"
localPort = 22
remotePort = 6000

启动后 ssh -oPort=6000 user@x.x.x.x 就能连到内网机器的 22 端口。

5.2 cpolar 速读

维度	详情
部署	零配置，下载即用
中转	官方中转服务器（提供二级公网域名）
限制	免费档限带宽、限连接数
适合场景	临时演示 / 个人远程
不适合场景	长期高带宽、对延迟敏感

5.3 选型建议

自建、自有 VPS、长期使用 → 选 frp
临时演示、个人远程、不想运维 → 选 cpolar
公司有安全合规要求、要求数据走自建 → frp
想用现成公网域名做微信小程序回调 → cpolar

六、选型矩阵：按业务场景一图看懂

业务场景	推荐工具	理由
经典 Web 反代 + 域名路由	Nginx	文档最全、运维最熟
Nginx 配置 + 动态生效 + 阿里生态	Tengine	双 11 验证、Ingress 注解丰富
个人博客 / 小团队 + 想省心	Caddy	自动 HTTPS + 配置 5 行
K8s/容器编排	Traefik	动态发现 + Ingress 一等公民
Service Mesh 数据面	Envoy	Istio 默认 + xDS 协议
超大流量七层网关（百度级别）	BFE	国内大厂验证
内网 SSH/MySQL 临时外访	frp	自建、可控、性能强
个人远程、临时演示	cpolar	零配置、免运维

七、常见 8 个坑点速查

stream 块里用 nginx_upstream_check_module → 不支持，主动检查只对 HTTP 生效
主动检查 + 被动检查同时配置 → 行为未定义，只能二选一
/status 状态页暴露在公网 → 加 allow / deny 或只监听内网 IP
Tengine 迁移后旧证书路径不一致 → 备份+还原时注意 cert/ 相对路径
HTTP/3（QUIC）开启后 443/udp 被防火墙拦 → 提前在 LB/防火墙开 UDP 443
Traefik 监听 Docker 标签后服务起来没路由 → 检查 traefik.enable=true 标签
frpc 配置改完忘 reload → frpc 默认不会自动 reload，用 systemctl restart frpc
cpolar 免费档被限速 → 长期高带宽业务直接换 frp

前置知识 / 下一步

前置：Nginx 基础配置（upstream、location、proxy_pass）、systemd 服务管理
下一步：K8s Ingress 选型（Traefik vs nginx-ingress）、Service Mesh 入门（Envoy + Istio）、CDN 与反代的协同

Windows 网络与终端工具集：MobaXterm、WindTerm、croc、curl、frp、ncat、nmap、syncthing、TCPCOM、burp 完全手册

Tue, 15 Oct 2024 00:00:00 +0800

一、网络工具分四类

按"我在 Windows 上到底要干什么"分四类：

类别	工具
终端 / SSH	MobaXterm、WindTerm
文件传输	croc、syncthing、TCPCOM
网络探测	curl、ncat、nmap、frp
代理 / 测试	burp（Web 代理）、Frp（内网穿透）

本文把十款工具的绿色版配置 + 实战 + 坑点串成一份手册。

二、终端之王：MobaXterm

2.1 简介

mobaxterm.mobatek.net —— Windows 终端的事实标准。免费 Personal 版够用，但有会话数限制（12 个）和SSH 隧道数量限制。

2.2 中文版与破解

社区维护两个中文项目：

破解思路（仅供学习，商业请购买 Professional）：

1
2
3
4
5
6
7
8


# 1. 启动 keygen 网站
https://moba-x-term-keygen.vercel.app/

# 2. 解压 MobaXterm，把 Custom.mxtpro 放进 MobaXterm 安装目录
# 3. 重启 MobaXterm → 顶部显示 "Professional"

# 注意：不支持默认编码是 UTF-8 的 Windows 系统（显示中文乱码）
# 绝大多数 Windows 中文版默认 GBK/GB2312，正常显示

2.3 免密码登录：密钥对

MobaXterm 集成 PuTTY 的密钥体系。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26


# Step 1: 生成密钥对
Tools → MobaKeyGen (SSH key generator)
 → Generate → 鼠标在进度条下方移动产生随机数
 → Save public key → authorized_keys
 → Save private key → mk.ppk

# Step 2: 公钥上传到服务器
ssh-copy-id -i ~/.ssh/mk.ppk.pub user@<host> # 需先在服务器有密码登录
# 或者手动：
mkdir -p ~/.ssh
chmod 700 ~/.ssh
cat authorized_keys >> ~/.ssh/authorized_keys
chmod 600 ~/.ssh/authorized_keys

# Step 3: 服务器 sshd_config
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys
PermitRootLogin yes # 或者 no 禁止 root 登录
PasswordAuthentication no # 关闭密码登录，强制密钥

service sshd restart

# Step 4: MobaXterm 用私钥登录
Sessions → New SSH → Advanced SSH settings
 → Use private key → 选 mk.ppk

2.4 忘记主密码重置

MobaXterm 把所有保存的会话密码加密存在 MobaXterm.ini，忘记主密码后用官方重置工具：

1
2
3
4
5


1. 访问 https://mobaxterm.mobatek.net/resetmasterpassword.html
2. 下载 ResetMasterPassword.zip
3. 把 ResetMasterPassword.exe 与 MobaXterm.exe 放到同一目录
4. 双击运行，提示"所有保存的密码将丢失" → 是
5. 重启 MobaXterm，重新设新密码

三、WindTerm：现代免费终端

3.1 简介

kingToolbox/WindTerm —— 2020+ 出现的国产开源终端，完全免费 + 跨平台（Windows / macOS / Linux）。

3.2 优势 vs MobaXterm

1
2
3
4
5
6
7
8


✓ 完全免费无功能限制
✓ 现代化 UI（VSCode 风格）
✓ 协议支持：SSH / SFTP / Serial / Telnet / RDP / VNC / WSL
✓ 内置 SFTP 面板
✓ 支持多标签 + 面板分割
✓ 性能更好（Go + Web 后端）
✗ 主题生态不如 MobaXterm 丰富
✗ 远程会话管理功能弱

3.3 下载

1

https://github.com/kingToolbox/WindTerm/releases/download/2.5.0/WindTerm_2.5.0_Windows_Portable_x86_64.zip

四、croc：跨端 P2P 文件传输

4.1 简介

schollz/croc —— 一句话描述：带中继的 scp。

4.2 优势

不需要双方都装服务端；
用 code 做配对（6 字符短码），免 IP 免配对；
默认走官方 relay（已 E2E 加密）；
自带中继可私有部署；
跨平台：Windows / macOS / Linux / Android / iOS。

4.3 实战

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13


# 1. 发送方
croc send --code <自定义code> <文件/目录>
 例：croc send --code myshare123 C:\Users\me\demo.zip
 输出：Code is: myshare123
 On the other computer run:
 croc myshare123

# 2. 接收方
croc <code>
 例：croc myshare123
 输出：Connecting... ok
 > receiving demo.zip (12.4 MB)
 100% |█████████████| [12.4MB/s]

4.4 高级用法

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14


# 指定中继
croc --relay <relay-host>:9009 send --code test123 file.zip

# 自签中继
croc relay # 默认 :9009

# 发送目录
croc send --code share C:\workspace\project\

# 接收重命名
croc myshare123 > received.zip

# 排除文件
croc send --exclude "*.tmp" --code share1 project/

4.5 与 SCP 对比

维度	croc	scp
配对	短码	IP + 账号 + 密码
中继	自带（可私有）	无
大文件	流式，分块	流式
跨平台	全	需 SSH 客户端
进度条	漂亮	简陋
加密	E2E	依赖 SSH

五、curl：HTTP 瑞士军刀

5.1 下载

curl.se/download.html —— Windows 绿色版在 curl.se/windows。

1
2


解压到 D:\portable\dev\curl\
PATH=%PATH%;D:\portable\dev\curl\bin

5.2 常用模式

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35


# GET
curl https://api.github.com/users/octocat

# POST JSON
curl -X POST https://api.example.com/users \
 -H "Content-Type: application/json" \
 -d '{"name":"alice","email":"alice@example.com"}'

# 表单提交
curl -X POST https://example.com/login \
 -d "user=alice&pass=secret"

# 文件上传
curl -X POST https://example.com/upload \
 -F "file=@C:/test.zip"

# 下载文件
curl -O https://example.com/file.zip
curl -o rename.zip https://example.com/file.zip

# 跟随重定向
curl -L https://bit.ly/xxxxx

# 显示响应头
curl -I https://example.com # HEAD
curl -i https://example.com # 头部 + body

# 走代理
curl --proxy socks5://127.0.0.1:1080 https://google.com

# 跳过证书
curl -k https://self-signed.example.com

# 详细调试
curl -v https://example.com # -vv 更详细

六、frp：内网穿透神器

6.1 简介

fatedier/frp —— 把内网机器暴露到公网的开源反向代理。

6.2 架构

1
2
3


内网主机 (frpc) ──> 公网 VPS (frps) ──> Internet 用户
 ↑ 反向连接 ↑
 主动发起，被动接收

6.3 服务端（公网 VPS）配置

frps.ini：

1
2
3
4
5
6


[common]
bind_port = 7000
dashboard_port = 7500
dashboard_user = admin
dashboard_pwd = {{REDACTED}}
token = {{REDACTED}}

启动：

1

nohup ./frps -c frps.ini &

6.4 客户端（内网）配置

frpc.ini：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15


[common]
server_addr = {{PUBLIC_IP}}
server_port = 7000
token = {{REDACTED}}

[ssh]
type = tcp
local_ip = 127.0.0.1
local_port = 22
remote_port = 6000 # 公网用 6000 端口连

[web]
type = http
local_port = 8080
custom_domains = test.example.com

启动：

1

.\frpc.exe -c frpc.ini

6.5 实战场景

1
2
3
4


- 远程 SSH 内网机器：公网 ssh -p 6000 user@<VPS_IP>
- 临时展示本地 Web：公网访问 test.example.com
- 远程桌面 RDP：内网开 3389，frp 暴露 13389
- TCP 透传：数据库 3306 暴露到公网（注意加 auth）

七、ncat（Nmap 子项目）：网络 IO 工具

7.1 简介

ncat 是 Nmap 项目的网络瑞士军刀（不是老 nc，ncat 默认走 nmap 安装包里的）。支持 TCP/UDP/SCTP/SSL。

7.2 下载

1
2
3


https://nmap.org/download#windows
下载 nmap-x.x.x-setup.exe
# 选 "Register ncat path" 让 cmd/PowerShell 全局识别

把 ncat.exe 复制一份改名为 nc.exe，命令更顺手。

7.3 实战命令

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39


# 1. 监听入站连接
ncat -l 8080

# 2. 连接远程
ncat 192.168.1.100 80
GET / HTTP/1.0
HEAD / HTTP/1.0

# 3. UDP 监听
ncat -l -u 1234
netstat -tunlp | findstr 1234
ncat -v -u <host> 1234

# 4. 聊天工具（局域网最快聊天）
ncat -l 8080 # 服务端
ncat 192.168.1.100 8080 # 客户端

# 5. 文件拷贝
# 接收方
ncat -l 8080 > file.txt
# 发送方（--send-only 传完即关）
ncat 192.168.1.100 8080 --send-only < data.txt

# 6. 端口转发（用 -c 创建中转）
ncat -u -l 80 -c 'ncat -u -l 8080'
# 80 端口的连接自动转到 8080

# 7. 后门（仅实验环境，**绝对禁止生产使用**）
# 服务端
ncat -l 10000 -e /bin/bash
# 客户端
ncat 192.168.1.100 10000
# Windows 端 -e 不可用，用 mkfifo 双向

# 8. 超时
ncat -w 10 192.168.1.100 8080

# 9. 长连接（-k 强制服务端不退出）
ncat -l -k 8080

八、nmap：端口扫描与服务识别

8.1 简介

lwn.net 文章 —— 业界标准，渗透测试和端口审计必装。

8.2 安装

1
2


下载 nmap-x.x.x-setup.exe → 默认装 → 把 path 加 PATH
PATH=%PATH%;D:\Program Files (x86)\Nmap

8.3 核心参数

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21


-A 综合扫描（OS + 服务版本 + 脚本 + traceroute）
-sP Ping 扫描（高效）
-Pn 跳过 ping（适合禁 ICMP 的目标）
-PS / -PA / -PR TCP SYN / ACK / ARP ping
-n 禁止 DNS 反向解析
-T0 ~ -T5 时序：T0 极慢（躲避 IDS）~T5 极速
-p 80 指定端口
-p 1-100 端口范围
-p- 所有端口（1-65535）
-F 快速模式（仅 100 个常用端口）
--top-ports 100 概率最高的前 100 端口
-sS TCP SYN 半连接扫描（隐蔽）
-sT TCP 全连接扫描
-sU UDP 扫描（极慢）
-sN / -sF 隐蔽扫描（FIN / NULL）
-sV 服务版本识别
-sV --allports 扫描所有端口的服务版本
-O 操作系统识别
--open 只显示 open 端口
-vv 详细输出
-oN / -oX / -oG 输出到普通文本 / XML / grepable

8.4 实战模板

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25


# 1. 基础扫描
nmap 127.0.0.1

# 2. 详细扫描
nmap -vv 127.0.0.1

# 3. 端口扫描
nmap 127.0.0.1 -p 80
nmap 127.0.0.1 -p 1-1000
nmap 127.0.0.1 -p- # 1-65535

# 4. 服务版本 + 操作系统
nmap -sV -O 127.0.0.1 -p 80

# 5. 全量扫描（耗时）
nmap -A 127.0.0.1 -p- -oN nmap_full.txt

# 6. 扫描网段
nmap -sP 192.168.1.0/24

# 7. 内网审计
nmap -Pn -sT 192.168.1.100 # 跳过 ping，TCP 全连接

# 8. 看支持 HTTP 方法
nmap -p 80 --script http-methods safe.example.com

8.5 输出样例

1
2
3
4
5


nmap -sS -T4 -sV --version-all <ip> -p 18554

PORT STATE SERVICE VERSION
18554/tcp open rtsp
1 service unrecognized despite returning data.

避坑：内网扫描遵守公司规定，未授权目标禁止扫描。scanme.nmap.org 是 nmap 官方授权的测试目标。

九、syncthing：P2P 跨端同步

9.1 简介

syncthing/syncthing —— 替代 Resilio Sync、Bt Sync 的开源方案。点对点 + 加密 + 多端。

9.2 启动

1
2
3
4
5
6
7


下载 syncthing-windows-amd64.zip → 解压 → 双击 syncthing.exe

# 默认 WebUI
http://127.0.0.1:8384/

# 加 GUI（推荐用 SyncTrayzor）
https://github.com/canton7/SyncTrayzor/releases

9.3 加设备

1
2
3
4
5
6


1. 设备 A 启动 syncthing → Add Device
2. 输入设备 B 的 Device ID
3. 设备 B 收到请求 → Accept
4. Add Folder → 选本地目录 → 共享给设备 B
5. 设备 B 选择接收路径
6. 双向实时同步

9.4 实战场景

1
2
3
4


- 笔记本 ↔ 桌面：项目代码、配置同步
- 家里 NAS ↔ 公司电脑：办公资料
- 手机（Android/iOS）↔ 电脑：照片、文档
- 替代 Dropbox：自托管，零成本

十、TCPCOM：串口调试

10.1 简介

cmsoft.cn/resource/110.html —— 国内常见的串口调试助手，比 putty 直观。

10.2 实战：调嵌入式设备

1
2
3
4
5
6


1. 选择 COM 端口（设备管理器查）
2. 波特率 115200 / 8 / N / 1
3. ☑ HEX 显示
4. 打开串口
5. 收到嵌入式设备的启动日志
6. 配合 ncat/nmap 排查网络端口

十一、burp：Web 渗透测试

11.1 简介

portswigger.net/burp —— Web 渗透测试事实标准，专业工具，合法授权使用。

11.2 替代：免费社区版

2023+ Burp Suite Community Edition 完全免费，够日常使用。

11.3 下载

1
2


https://portswigger.net/burp/releases
下载 BurpSuiteCommunity.jar

11.4 启动

1

java -jar BurpSuiteCommunity.jar

11.5 实战：抓包改包

1
2
3
4
5


1. Proxy → Options → 127.0.0.1:8080
2. 浏览器装 FoxyProxy 或 SwitchyOmega 走 127.0.0.1:8080
3. 浏览器访问 HTTP 站点 → burp Proxy 拦截
4. 修改请求 → Forward
5. 改包测越权 / 注入

11.6 配合浏览器代理

1
2
3
4
5


SwitchyOmega:
 代理协议：HTTP
 代理服务器：127.0.0.1
 代理端口：8080
 → 一键切换"走 burp / 不走 burp"

十二、组合 SOP

12.1 应急：客户机器某个端口不通

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14


# 1. 本机看端口
netstat -ano | findstr 8080

# 2. 扫客户机器
nmap -Pn -p 8080 <client-ip>

# 3. 连一下测试
ncat -v <client-ip> 8080
# → open : OK
# → Connection refused : 端口没开
# → timeout : 防火墙丢包

# 4. SSH 进去
MobaXterm / WindTerm → 新建 SSH 会话 → 登录

12.2 跨端文件分享

1
2
3
4
5
6
7


# 场景：把 500MB 视频从办公室电脑传给家里电脑
# 选项 A：croc（最快）
croc send --code video2024 C:\videos\demo.mp4
# 家里电脑 croc video2024

# 选项 B：syncthing（持续同步）
# 在两台机器都装 syncthing，加为设备，共享 videos 目录

12.3 远程客户现场

1
2
3
4
5
6


1. WindTerm SSH 到客户的跳板机
2. nmap 扫内网，找到目标服务端口
3. ncat 测试连通性
4. curl 拉接口返回内容
5. burp 抓包调试 HTTP 协议问题
6. frp 内网穿透开 Web 服务给客户查看

十三、文件归档

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


D:\portable\net\
├── mobaxterm\ # 终端 1
├── windterm\ # 终端 2
├── croc\ # P2P 文件传输
├── curl\ # HTTP CLI
├── nmap\ # 端口扫描
├── ncat\ # 网络 IO
├── frp\ # 内网穿透
├── syncthing\ # P2P 同步
├── tcpcom\ # 串口调试
└── burp\ # Web 渗透

十四、常见坑

现象	原因	对策
MobaXterm 中文乱码	客户端编码不匹配	会话属性 → Remote environment 设为 UTF-8
WindTerm 启动报缺失 DLL	缺 VC++ Runtime	装 Visual C++ Redistributable
croc 走不动 relay	公司防火墙拦截 9009	部署私有 relay：`croc relay --ports 9009`
curl 在 Windows 报 SSL	缺 CA 证书	用 `-k` 跳过或装 OpenSSL
nmap 扫不动 Win10	Win10 防火墙拦截	加 `-Pn` 跳过 ping
frp 连不上服务端	token 不匹配 / 端口被拦	检查两端 token 字符串完全一致
burp 抓 HTTPS 乱码	证书未导入	浏览器访问 `http://burp` 下载并信任证书
syncthing 同步冲突	双向编辑	设 .stignore 排除运行时文件

十五、下一步

MobaXterm 进阶：用 macro 自动登录大量服务器
WindTerm 进阶：用 windterm --help 看 CLI 自动重连
nmap 进阶：学 NSE 脚本（nmap --script=vuln）
burp 进阶：Intruder 模块做密码爆破、Scanner 模块做自动化漏洞扫描
frp 进阶：HTTPS 反代、STCP 模式（点对点加密）

十六、参考资料

禅道、FRP 内网穿透、RustDesk：项目管理与远程协作工具链

Tue, 15 Mar 2022 00:00:00 +0800

小团队想要"项目管理 + 远程办公"的基础设施，开源圈有几款久经考验的组合：

禅道（Zentao）：国产老牌项目管理软件，支持需求/任务/缺陷/Bug 全生命周期，开源版免费。
FRP（Fast Reverse Proxy）：把内网服务（如家里的 NAS、办公室的服务器）暴露到公网，比 ssh 反向隧道更稳定。
RustDesk：开源远程桌面（TeamViewer 替代品），服务端自建——数据完全可控。

这三者搭配，就构成一套"自建、不依赖第三方、够用"的远程协作工具链。

阅读对象：小团队 admin / 运维 / 想从 TeamViewer/钉钉/企业微信项目里迁出来的同学。 覆盖范围：禅道 Docker 部署（v18.3/21.4）、升级流程；FRP 客户端配置（tcp 代理 ssh/mysql）；RustDesk 服务端 docker-compose、Key 生成、客户端使用。

一、禅道项目管理（Zentao）

禅道是国产开源项目管理的代表，2009 年发布，2021 年起进入"专业版/企业版/旗舰版/IPD"矩阵。开源版（zentao 18.x / 21.x）就够中小团队用。

1.1 版本对比

版号	类型	适合
`zentao 18.x`	开源版（PHP 7）	经典稳定
`zentao 21.x`	开源版（PHP 8）	新项目推荐
`pro+数字`	专业版	甘特图、APP、LDAP
`biz / max / ipd`	企业版/旗舰版/IPD	中大型企业

1.2 Docker 部署

 1
 2
 3
 4
 5
 6
 7
 8
 9
10


# 拉镜像
docker pull easysoft/zentao:18.3

# 启动
docker run -d --name zentao --restart=always \
 -p 9999:80 \
 -v /home/docker/zentao/pms:/www/zentaopms \
 -v /home/docker/zentao/mysql:/var/lib/mysql \
 -e MYSQL_ROOT_PASSWORD={{REDACTED}} \
 easysoft/zentao:18.3

关键参数：

-v /home/docker/zentao/pms:/www/zentaopms：禅道代码、附件的持久化

-v /home/docker/zentao/mysql:/var/lib/mysql：MySQL 数据的持久化

这两个目录必须是空目录（首次启动会初始化）

1.3 访问与初始化

访问 http://<宿主机IP>:9999：

几分钟后跳到登录页
数据库密码 = 启动时的 MYSQL_ROOT_PASSWORD（{{REDACTED}}）
选"全生命周期"模式
设置管理员账号（密码 6+，大小写+数字）

完整初始化流程约 3-5 分钟。

1.4 21.4 版本（PHP 8）

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16


docker pull hub.zentao.net/app/zentao:21.4

# 21.4 支持外部 MySQL（推荐）
docker run -it \
 -v /home/docker/zentao/data:/data \
 -p 80:80 \
 -e ZT_MYSQL_HOST=<mysql_host> \
 -e ZT_MYSQL_PORT=3306 \
 -e ZT_MYSQL_USER=root \
 -e ZT_MYSQL_PASSWORD={{REDACTED}} \
 -e ZT_MYSQL_DB=zentao \
 -e ZT_REDIS_HOST=redis \
 -e ZT_REDIS_PORT=6379 \
 -e ZT_REDIS_PASSWORD={{REDACTED}} \
 -e ZT_CACHE_TYPE=redis \
 hub.zentao.net/app/zentao:21.4

21.x 把 MySQL 拆出来做外部依赖，更适合"禅道 + 业务共享一套 MySQL"的场景。

1.5 升级

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20


# 1. 停止并删除旧容器
docker stop zentao
docker rm zentao

# 2. 备份数据
cp -rp /home/docker/zentao/pms /home/docker/zentao_pms_$(date +%Y%m%d)
cp -rp /home/docker/zentao/mysql /home/docker/zentao_mysql_$(date +%Y%m%d)

# 3. 拉新镜像
docker pull hub.zentao.net/app/zentao:21.4

# 4. 重新启动（沿用旧数据目录）
docker run --name zentao \
 -p 80:80 \
 --network=zentaonet \
 --ip 172.172.172.172 \
 -v /home/docker/zentao/pms:/www/zentaopms \
 -v /home/docker/zentao/mysql:/var/lib/mysql \
 -e MYSQL_INTERNAL=true \
 -d hub.zentao.net/app/zentao:18.7

升级关键：数据目录 + MySQL 目录保留，只换镜像。禅道会自动检测版本、跑升级 SQL。

1.6 备份脚本

 1
 2
 3
 4
 5
 6
 7
 8
 9
10


# 1. 停禅道
docker stop zentao

# 2. 打包
tar -czf /backup/zentao_$(date +%Y%m%d).tar.gz \
 /home/docker/zentao/pms \
 /home/docker/zentao/mysql

# 3. 启动
docker start zentao

二、FRP 内网穿透

FRP（Fast Reverse Proxy） 是一个高性能的反向代理应用，可以把内网机器的 SSH、MySQL、Web 服务暴露到公网。比 ssh -R 稳定，比 ngrok 私有化。

2.1 架构

1
2
3
4


[内网机器 A] [公网 VPS]
 frpc ──tcp──► frps :7000
 ssh:22 ─────► 公网 IP:6190
 mysql:3306 ───► 公网 IP:6191

2.2 公网 VPS 部署 frps

1
2
3
4
5
6
7


# 下载服务端
wget https://github.com/fatedier/frp/releases/download/v0.52.3/frp_0.52.3_linux_amd64.tar.gz
tar xf frp_0.52.3_linux_amd64.tar.gz
cd frp_0.52.3_linux_amd64

# 启动服务端
./frps -c frps.ini

frps.ini 关键配置：

1
2
3
4
5
6


[common]
bind_port = 7000
dashboard_port = 7500
dashboard_user = admin
dashboard_pwd = {{REDACTED}}
token = {{REDACTED}}

2.3 内网机器部署 frpc

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21


mkdir -p /home/docker/rp
cat << 'EOF' > /home/docker/rp/frpc.toml
serverAddr = "1.2.3.4" # 公网 VPS IP
serverPort = 7000
auth.method = "token"
auth.token = "{{REDACTED}}"

[[proxies]]
name = "office-ssh"
type = "tcp"
localIP = "127.0.0.1"
localPort = 22
remotePort = 6190

[[proxies]]
name = "office-mysql"
type = "tcp"
localIP = "127.0.0.1"
localPort = 3306
remotePort = 6191
EOF

2.4 Docker 启动 frpc

1
2
3
4
5


docker run -d --restart=always \
 --name frpc \
 --network host \
 -v /home/docker/rp/frpc.toml:/etc/frp/frpc.toml \
 snowdreamtech/frpc:0.52.3

多台内网机器：每台跑 frpc，分配不同的 remotePort 即可。frps 自动路由。

2.5 验证

1
2
3
4
5


# 在公网 VPS 测试 SSH 到内网机器
ssh -p 6190 user@1.2.3.4

# 在业务服务器连内网 MySQL
mysql -h 1.2.3.4 -P 6191 -u root -p

三、RustDesk 远程桌面（自建 Server）

TeamViewer 商业版贵、向日葵限速。RustDesk 是开源替代品（Rust 写的），服务端自建、客户端开源，远程控制数据不经过第三方。

3.1 架构

1
2
3
4
5


[被控端] ──tcp/udp──► [RustDesk Server] ◄──tcp── [主控端]
 21115 (NAT)
 21116 (ID 注册)
 21117 (Relay)
 21118 (WebSocket)

3.2 服务端 docker-compose

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23


mkdir -p /home/docker/rustdesk/data
cat << 'EOF' > /home/docker/rustdesk/docker-compose.yaml
version: "3"
services:
 rustdesk-server:
 container_name: rustdesk-server
 ports:
 - 21115:21115
 - 21116:21116
 - 21116:21116/udp
 - 21117:21117
 - 21118:21118
 - 21119:21119
 image: rustdesk/rustdesk-server-s6:latest
 environment:
 - "RELAY=internal.example.com:21117"
 - "ENCRYPTED_ONLY=1"
 volumes:
 - /home/docker/rustdesk/data:/data
 restart: unless-stopped
EOF

docker-compose -f /home/docker/rustdesk/docker-compose.yaml up -d

关键参数：

RELAY：内网穿透地址，客户端连接不上时走 relay

ENCRYPTED_ONLY=1：强制端到端加密（防止 relay 服务器偷看）

3.3 提取服务端 Key

1
2


cat /home/docker/rustdesk/data/id_ed25519.pub
# 输出形如：YFdhkFcz19pQBzEbCdf2weNt3PSmyzeHHyhRkKhyTI0=

Key 必须在客户端配置，否则连不上自建 server。

3.4 客户端使用

下载地址：github.com/rustdesk/rustdesk/releases

Windows / macOS / Linux / Android / iOS 全平台。

配置 ID Server：

打开 RustDesk → 设置 → 网络
ID 服务器：<公网IP或域名>
Key：粘贴上一步提取的 id_ed25519.pub
中继服务器：<公网IP>:21117

客户端 ID 是自动生成的（如 825 391 728），告诉对方这个 ID 就能远程。

3.5 防火墙开放端口

1
2
3
4
5
6
7
8
9


# Ubuntu/Debian
ufw allow 21115:21119/tcp
ufw allow 21116/udp
ufw reload

# CentOS
firewall-cmd --add-port=21115-21119/tcp --permanent
firewall-cmd --add-port=21116/udp --permanent
firewall-cmd --reload

四、组合：自建远程协作套件

角色	工具	替代品
项目管理	禅道（自建）	Jira（商业）、Teambition、飞书项目
文档协作	（可选）Outline / BookStack	Confluence、Notion
远程桌面	RustDesk（自建）	TeamViewer、向日葵
内网穿透	FRP（自建）	ngrok（商业）、cpolar
即时通讯	（可选）Rocket.Chat / Mattermost	钉钉、企业微信、Slack

小团队 5-20 人成本几乎为 0（VPS 一年 200 元），数据全在自己手里。

五、扩展阅读

禅道开源版：zentao.net
FRP 官方仓库：github.com/fatedier/frp
RustDesk 官方仓库：github.com/rustdesk/rustdesk
RustDesk Server 镜像：hub.docker.com/r/rustdesk/rustdesk-server
FRP 镜像：hub.docker.com/r/snowdreamtech/frpc

OpenVPN 自建 VPN 服务：证书签发、客户端配置与多用户管理

Sat, 15 Sep 2018 00:00:00 +0800

企业内网里要远程办公、要让外网访问内部系统，传统方案是"公网 IP + 端口映射 + 防火墙白名单"，但任意端口都暴露风险大。VPN（Virtual Private Network）是更安全的方案——所有流量走加密隧道，访问内网像在内网一样。OpenVPN 是开源 VPN 里的"老牌选手"，协议成熟、客户端齐全、跨平台。这篇文章讲清楚容器化部署、CA 证书签发、客户端 .ovpn 配置、多用户管理。

阅读对象：要给团队搭企业 VPN、给客户搭远程访问通道的运维同学
覆盖范围：kylemanna/openvpn 容器化部署、CA 签发、客户端 .ovpn 生成、duplicate-cn 多人共用、多用户管理脚本

〇、本文与"VPN 与代理自托管"一文的关系

本篇侧重 OpenVPN 单协议的深度——性能调优、跨平台客户端、协议变体、与企业网络设备对接。如果想看 OpenVPN + V2Ray 两条路线的选型对比，请参考姐妹篇 VPN 与代理自托管：OpenVPN 与 V2Ray 部署实战。

合规提示（必读）：本文仅讨论 OpenVPN 用于企业远程办公、跨地域内网访问、出差员工接入公司内网等合法场景。部署、使用 VPN 服务务必遵守所在国家/地区法律法规。未经电信主管部门批准擅自建立、使用其他信道进行国际联网在中国大陆境内属违法行为。请勿用于违反所在国法律法规的用途。

一、为什么是 OpenVPN

VPN 协议不止一种，主流对比：

协议	特点	适用
OpenVPN	SSL/TLS 加密，UDP/TCP 都行，跨平台	企业内网 VPN，老牌稳定
WireGuard	新一代，Linux 内核态，配置极简	追求性能与简洁
IPSec / IKEv2	移动端友好，原生支持 iOS/macOS	移动办公
Shadowsocks / V2Ray	代理协议，不是真 VPN	翻墙 / 流量伪装

When to use：要给企业员工/客户提供"访问内网"能力，OpenVPN 是最稳的方案——企业级防火墙一般不会拦 OpenVPN 流量（看是 TCP 443 还是 UDP 1194），客户端覆盖 Windows / macOS / Linux / iOS / Android。

二、容器化部署

2.1 拉镜像

1

docker pull kylemanna/openvpn

2.2 初始化配置

1
2
3
4
5
6
7
8


# 创建配置卷
OVPN_DATA="ovpn-data"
docker volume create --name $OVPN_DATA

# 生成 OpenVPN 服务端配置（UDP 协议，公网 IP 替换成实际 IP）
docker run -v $OVPN_DATA:/etc/openvpn --log-driver=none --rm \
 kylemanna/openvpn \
 ovpn_genconfig -u udp://{{PUBLIC_IP}}

协议选择：

UDP 1194：性能好，主流选择

TCP 443：能穿透企业代理/防火墙，但性能略差

2.3 签发 CA 证书

1
2
3
4
5
6
7
8
9


docker run -v $OVPN_DATA:/etc/openvpn --rm -it \
 kylemanna/openvpn ovpn_initpki

# 交互式输入：
# Confirm removal: yes
# Enter PEM pass phrase: {{CA_PASSWORD}} # CA 私钥密码
# Verifying - Enter PEM pass phrase: {{CA_PASSWORD}}
# Common Name (eg: your user,host,or server name) [Easy-RSA CA]: 直接回车
# Enter pass phrase for /etc/openvpn/pki/private/ca.key: {{CA_PASSWORD}}

CA 密码保管：这个密码是 CA 私钥的"二次锁"，必须记录下来备份——后面签发/吊销客户端证书时都要用到。

2.4 启动服务端

1
2
3
4
5
6


docker run -d --name openvpn --restart=always \
 -v $OVPN_DATA:/etc/openvpn \
 -p 1194:1194/udp \
 --cap-add=NET_ADMIN \
 --restart=always \
 kylemanna/openvpn

–cap-add=NET_ADMIN：让容器获得 NET_ADMIN 能力，能创建 tun 设备、改路由表。

2.5 验证

服务端启动后，查看日志：

1

docker logs -f openvpn

看到 Initialization Sequence Completed 说明成功。

三、签发客户端证书

3.1 单个客户端

1
2
3
4
5
6
7


# 签发 client 证书
docker run -v $OVPN_DATA:/etc/openvpn --rm -it \
 kylemanna/openvpn easyrsa build-client-full {{USERNAME}} nopass

# 导出 .ovpn 配置文件
docker run -v $OVPN_DATA:/etc/openvpn --rm \
 kylemanna/openvpn ovpn_getclient {{USERNAME}} > {{USERNAME}}.ovpn

nopass：客户端证书不设密码。nopass 适合自动化/移动端，有密码更安全（每次连接输密码），按业务取舍。

3.2 .ovpn 文件内容

导出的 .ovpn 文件包含：

CA 证书
客户端证书
客户端私钥
服务端配置（IP、端口、协议、压缩方式）

直接发给用户用 OpenVPN 客户端导入即可：

Windows / macOS：OpenVPN Connect 客户端
Linux：openvpn --config xxx.ovpn
iOS / Android：OpenVPN Connect APP

不要通过微信/邮件明文传 .ovpn——里面是私钥。建议企业内 IM（如企业微信）传或加密压缩。

3.3 客户端连接

1
2
3


# Linux
sudo apt install openvpn
sudo openvpn --config /path/to/{{USERNAME}}.ovpn

连接成功后，客户端会拿到 10.8.x.x 的 VPN IP，访问内网（如 192.168.0.0/16）就自动走 VPN 隧道。

四、关键配置

/var/lib/docker/volumes/ovpn-data/_data/openvpn.conf（核心）：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27


server 10.8.0.0 255.255.255.0
verb 3
key /etc/openvpn/pki/private/{{SERVER_NAME}}.key
ca /etc/openvpn/pki/ca.crt
cert /etc/openvpn/pki/issued/{{SERVER_NAME}}.crt
dh /etc/openvpn/pki/dh.pem
tls-auth /etc/openvpn/pki/ta.key
key-direction 0
keepalive 10 60
persist-key
persist-tun
proto udp
port 1194
dev tun0
status /tmp/openvpn-status.log
user nobody
group nogroup
comp-lzo no

# 路由推送（让客户端能访问内网）
route 192.168.0.0 255.255.0.0

# DNS 推送
push "block-outside-dns"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
push "comp-lzo no"

五、多用户管理

5.1 duplicate-cn（多人共用证书）

默认 OpenVPN 一个证书只允许一个连接。多人用同一个 .ovpn：

1
2
3
4
5


# 在 openvpn.conf 末尾加
echo "duplicate-cn" >> /var/lib/docker/volumes/ovpn-data/_data/openvpn.conf

# 重启
docker restart openvpn

不推荐生产用：所有用户用同一个证书，审计不到具体人，吊销就是"全部吊销"。建议每个用户独立签发证书。

5.2 批量添加用户脚本

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12


#!/bin/bash
# vim add_user.sh
OVPN_DATA="ovpn-data"
read -p "please your username: " NAME

docker run -v $OVPN_DATA:/etc/openvpn --rm -it \
 kylemanna/openvpn easyrsa build-client-full $NAME nopass

docker run -v $OVPN_DATA:/etc/openvpn --rm \
 kylemanna/openvpn ovpn_getclient $NAME > /root/"$NAME".ovpn

docker restart openvpn

5.3 删除用户脚本

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21


#!/bin/bash
# vim del_user.sh
OVPN_DATA="ovpn-data"
read -p "Delete username: " DNAME

docker run -v $OVPN_DATA:/etc/openvpn --rm -it \
 kylemanna/openvpn easyrsa revoke $DNAME

docker run -v $OVPN_DATA:/etc/openvpn --rm -it \
 kylemanna/openvpn easyrsa gen-crl

docker run -v $OVPN_DATA:/etc/openvpn --rm \
 kylemanna/openvpn rm -f /etc/openvpn/pki/reqs/"$DNAME".req

docker run -v $OVPN_DATA:/etc/openvpn --rm \
 kylemanna/openvpn rm -f /etc/openvpn/pki/private/"$DNAME".key

docker run -v $OVPN_DATA:/etc/openvpn --rm \
 kylemanna/openvpn rm -f /etc/openvpn/pki/issued/"$DNAME".crt

docker restart openvpn

六、踩坑清单

UDP 1194 被防火墙拦——换 TCP 443，重启 ovpn_genconfig -u tcp://{{IP}}
客户端连上但访问不了内网——服务端没 push "route 192.168.x.x 255.255.x.x"，或者内网机器防火墙拦截了 VPN 客户端 IP（10.8.0.0/24）
DNS 解析失败——客户端拿到了 VPN IP 但解析不到内网域名，添加 push "dhcp-option DNS 10.0.0.2"
证书过期——Easy-RSA 默认 825 天，吊销旧证书、签发新证书
.ovpn 文件被截断——> 重定向可能被 shell 解释，证书里的 --- 等特殊字符要用 <<EOF 或 tee 输出
多人共用证书审计不到——生产用 duplicate-cn 是"省事但危险"，强烈建议一证一人

七、OpenVPN 性能优化（独有）

性能调优是与 VPN 与代理自托管姐妹篇不重叠的部分。

7.1 协议层

协议	性能	兼容	适用
UDP	最高	大多数客户端	默认推荐
TCP	略低	所有环境	穿透强约束网络
TCP 443	低	全部	跨公网 NAT / 严格防火墙

proto udp 默认选；只有 UDP 被防火墙挡才换 TCP。

7.2 加密层

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


# 高性能（默认）
cipher AES-256-CBC
auth SHA256
tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384

# 极致性能（牺牲一些安全性）
cipher AES-128-GCM # 128 vs 256 性能差 30%
auth SHA1

# 强制 TLS 1.2+（强烈推荐）
tls-version-min 1.2

2024+ 推荐：CPU 支持 AES-NI 硬件加速（所有现代 Intel/AMD CPU 都支持），AESGCM 比 CBC 快 2-3 倍。改用 cipher AES-256-GCM。

7.3 压缩（注意历史教训）

1
2
3
4
5


# 禁用 comp-lzo（VORACLE 攻击）
comp-lzo no
push "comp-lzo no"

# 不用 compress（如果用了 LZ4 也建议禁）

7.4 keepalive 与 MTU

1
2
3
4
5
6


# 客户端断线 60s 内重连，服务端 120s 释放
keepalive 10 60

# 关键 MTU 调优（避免分片）
tun-mtu 1400
mssfix 1360

7.5 大规模并发（千人级）

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


# 服务端配置
max-clients 1000
max-routes-per-client 50
duplicate-cn # 仅审计可放弃时使用
tcp-nodelay

# /etc/sysctl.conf（宿主）
net.core.somaxconn = 4096
net.ipv4.tcp_max_syn_backlog = 4096
net.core.rmem_max = 16777216
net.core.wmem_max = 16777216

7.6 性能基准（参考）

配置	单客户端带宽	CPU 占用（单核）
AES-256-CBC + UDP	~800 Mbps	60%
AES-256-GCM + UDP	~2 Gbps	30%
AES-128-GCM + UDP	~3 Gbps	20%
TCP 443	~500 Mbps	70%

实际值取决于 CPU、MTU、网络环境。1 Gbps 客户端+ AES-NI 可跑到 1.5+ Gbps 隧道吞吐。

八、跨平台客户端实战（独有）

8.1 Windows

OpenVPN Connect 官方客户端
OpenVPN GUI（2018 起停更，但仍是事实标准）
Tunnelblick（仅 macOS）→ Windows 对应 OpenVPN Connect

8.2 macOS

Tunnelblick 开源 GUI（事实标准）
OpenVPN Connect 官方
Viscosity 商业（订阅制，UI 友好）

8.3 Linux

1
2
3
4
5
6
7


# 命令行
sudo apt install openvpn
sudo openvpn --config client.ovpn

# NetworkManager 图形
sudo apt install network-manager-openvpn network-manager-openvpn-gnome
# 系统设置 → 网络 → + → VPN → OpenVPN → 选 .ovpn 文件

8.4 iOS / Android

OpenVPN Connect（官方）
导入 .ovpn 后会自动保存，连接时输入证书密码（如果签发时设了）

8.5 路由器（OpenWrt / iKuaiOS）

1
2
3
4
5
6
7
8
9


# OpenWrt 安装
opkg install openvpn-openssl

# 复制 .ovpn 到 /etc/openvpn/
# 启动
/etc/init.d/openvpn enable
/etc/init.d/openvpn start

# 路由器下所有设备都走 VPN（"硬路由级" VPN）

进阶：把 OpenVPN 装到企业网关（pfSense / OPNsense），整个网段接入 VPN。

九、协议变体与互操作（独有）

9.1 OpenVPN Access Server（商业版）

官方商业版，免证书签发
提供 Web 管理后台、用户自助注册
适合中小企业（< 200 用户）不想自己维护 CA
授权 10 用户起售

9.2 OpenVPN Cloud

2020+ 推出的 SaaS 版
全球 Anycast 节点
适合跨国企业、远程办公团队
按用户订阅

9.3 WireGuard 替代？

维度	OpenVPN	WireGuard
内核态	否（用户态）	是（Linux 5.6+）
性能	中	极高（UDP 单线程 ~1 Gbps）
配置	中（CA + 证书）	极简（公私钥对）
抗检测	中	低（流量特征明显）
跨平台	全平台	全平台（2019+）
适用	企业内网、远程办公	高性能场景、移动端

2024 选型：传统企业 → OpenVPN（稳定、审计、客户端全）；新项目 / 高性能 → WireGuard（配置极简、性能强）。

十、参考资料

kylemanna/openvpn：https://github.com/kylemanna/docker-openvpn
OpenVPN 官方文档：https://openvpn.net/community-resources/
OpenVPN Connect 客户端下载：https://openvpn.net/client/

下一步

想做代理？→ V2Ray 代理服务搭建一文
想做 WebRTC 内网穿透？→ 流媒体与 WebRTC 实时视频一文
想做 Web 网关？→ Nginx 反向代理实战一文

FRP 内网穿透实战：让公网 VPS 暴露内网 SSH、MySQL 与 Web 服务

Fri, 15 Sep 2017 00:00:00 +0800

背景

家里或公司内网的机器没有公网 IP，外面想 SSH 进去、连 MySQL、访问内网 Web 系统——传统的方案是路由器做端口映射，或者买花生壳这种商业服务。frp（Fast Reverse Proxy）用一台有公网 IP 的 VPS 作为"中转"，让任何内网服务"看起来"跑在公网 IP 上，部署简单，开源免费。

适用场景：

远程办公，需要从公网 SSH 进内网开发机
临时把内网 MySQL 暴露给第三方调试
异地访问家里的 NAS、摄像头、Git 服务
没有公网 IP 的云主机需要对外提供 Web 服务

前置知识：

一台有公网 IP 的 VPS（带宽建议 ≥ 5Mbps）
Linux 基础（systemd、iptables）
一点网络常识（端口、TCP/UDP）

注意：frp 把内网服务"反向"暴露到公网，任何能连到 frps 端口的人都能访问。请务必：

使用 token 鉴权

配合 fail2ban 或 ACL 限制来源 IP

暴露 SSH 等高危服务时启用 stcp/xtcp 加密模式

一、frp 工作原理

1
2


[公网客户端] ──> frps (公网 VPS :7000) ──> frpc (内网机器)
 ↑ 中转、反向代理 ↑ 主动连接建立隧道

关键点：

frps（server）跑在公网 VPS，监听 bind_port（默认 7000）
frpc（client）跑在内网机器，主动连到 frps，建立长连接
公网客户端访问 VPS_IP:remote_port，frps 把流量通过已建立的隧道转发给 frpc，再由 frpc 转发到内网的 local_ip:local_port

支持的代理类型（frp 0.20+）：

类型	用途	备注
`tcp`	纯 TCP 端口映射	SSH、MySQL、Redis、自定义协议
`udp`	纯 UDP 端口映射	DNS、游戏、VoIP
`http`	HTTP 应用	支持改 Host Header、basic auth
`https`	HTTPS 应用	配合证书
`stcp`	安全 TCP（需两边都跑 frpc）	不在服务端暴露端口，访问者也需密钥
`xtcp`	点对点穿透	流量不经过服务器中转，UDP 打洞

二、安装

2.1 下载二进制

frp 0.43.0（2022-02 发布，长期维护版本）：

1
2
3
4
5
6
7


# Linux x86_64
curl -O https://github.com/fatedier/frp/releases/download/v0.43.0/frp_0.43.0_linux_amd64.tar.gz
tar -zxvf frp_0.43.0_linux_amd64.tar.gz -C /usr/local/games
mv /usr/local/games/frp_0.43.0_linux_amd64 /usr/local/games/rp

# Windows 客户端
# https://github.com/fatedier/frp/releases/download/v0.43.0/frp_0.43.0_windows_amd64.zip

2024-05 更新提示：frp 已迭代到 0.60+，大版本（v0.50+）开始推 TOML 配置，0.43 仍是 INI 经典格式。本篇示例兼顾 0.43（INI）和 0.50+（TOML）。

2.2 Docker 部署

1
2
3
4
5
6
7
8
9


# 服务端
docker run -d --restart=always --network host \
 -v /etc/frp/frps.ini:/etc/frp/frps.ini \
 --name frps snowdreamtech/frps

# 客户端
docker run -d --restart=always --network host \
 -v /etc/frp/frpc.ini:/etc/frp/frpc.ini \
 --name frpc snowdreamtech/frpc

--network host 让 frpc 直接监听内网服务端口，避免 Docker 端口映射的复杂性。

三、配置详解（INI 经典格式）

3.1 服务端 frps.ini

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15


[common]
bind_addr = 0.0.0.0
bind_port = 7000
# 鉴权令牌，客户端必须一致
token = your_strong_token_here
# Dashboard 端口（可选，浏览器看连接状态）
dashboard_port = 7500
dashboard_user = admin
dashboard_pwd = your_dashboard_pwd
# 日志
log_file = /var/log/frps.log
log_level = info
log_max_days = 7
# 允许的端口范围（防止被滥用）
allow_ports = 2000-3000,5000-6000,6000-10000

关键参数：

token 必设，防止别人白嫖你的 VPS
allow_ports 限制客户端能使用的 remote_port 段
dashboard_port 默认关闭，开启后通过浏览器看连接状态

3.2 客户端 frpc.ini（内网机器）

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34


[common]
server_addr = x.x.x.x # frps 的公网 IP
server_port = 7000
token = your_strong_token_here

# SSH 暴露
[ssh]
type = tcp
local_ip = 127.0.0.1
local_port = 22
remote_port = 6000

# MySQL 暴露
[mysql]
type = tcp
local_ip = 127.0.0.1
local_port = 3306
remote_port = 3307

# Web 服务（HTTP 代理）
[web]
type = http
local_port = 8080
local_ip = 127.0.0.1
custom_domains = your.domain.com
locations = /

# 加密模式（推荐用于敏感服务）
[secret_ssh]
type = stcp
# 只有知道 sk 的人才能连
sk = abcdefgh
local_ip = 127.0.0.1
local_port = 22

四、HTTPS / Web 应用场景

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25


# frps.ini（服务端）
[common]
bind_addr = 0.0.0.0
bind_port = 7000
vhost_http_port = 80
vhost_https_port = 443
token = your_strong_token_here

# frpc.ini（客户端）
[common]
server_addr = x.x.x.x
server_port = 7000
token = your_strong_token_here

[blog]
type = http
local_port = 3000
local_ip = 127.0.0.1
custom_domains = blog.example.com

[wiki]
type = https
local_port = 443
local_ip = 127.0.0.1
custom_domains = wiki.example.com

注意：域名解析到 frps 的公网 IP，frps 根据 custom_domains 路由到不同 frpc。

五、systemd 守护（推荐生产方式）

5.1 服务端 /etc/systemd/system/rps.service

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13


[Unit]
Description = frp server
After = network.target syslog.target
Wants = network.target

[Service]
Type = simple
ExecStart = /usr/local/games/rp/frps -c /usr/local/games/rp/frps.ini
Restart = always
RestartSec = 5s

[Install]
WantedBy = multi-user.target

5.2 客户端 /etc/systemd/system/rpc.service

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14


[Unit]
Description = frp client
After = network.target
Wants = network.target

[Service]
Type = simple
ExecStart = /usr/local/games/rp/frpc -c /usr/local/games/rp/frpc.ini
Restart = always
RestartSec = 20s
User = nobody

[Install]
WantedBy = multi-user.target

1
2
3
4


systemctl daemon-reload
systemctl enable --now rps # 服务端
systemctl enable --now rpc # 客户端
systemctl status rpc

5.3 验证连接

1
2
3


# 从公网客户端访问
ssh -p 6000 root@<vps-public-ip>
# 实际上等同于 SSH 进内网机器的 22 端口

六、TOML 格式（frp 0.50+）

frp 0.50+ 推荐 TOML：

1
2
3
4
5
6
7
8
9


# frps.toml
bindAddr = "0.0.0.0"
bindPort = 7000
auth.method = "token"
auth.token = "your_strong_token_here"
webServer.addr = "0.0.0.0"
webServer.port = 7500
webServer.user = "admin"
webServer.password = "your_dashboard_pwd"

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19


# frpc.toml
serverAddr = "x.x.x.x"
serverPort = 7000
auth.method = "token"
auth.token = "your_strong_token_here"

[[proxies]]
name = "ssh"
type = "tcp"
localIP = "127.0.0.1"
localPort = 22
remotePort = 6000

[[proxies]]
name = "mysql"
type = "tcp"
localIP = "127.0.0.1"
localPort = 3306
remotePort = 3307

七、批量部署多个内网机器

假设一台公网 VPS 暴露多个内网客户的 MySQL/SSH：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13


# 客户端 A（客户 A）
[mysql]
type = tcp
local_ip = 127.0.0.1
local_port = 3306
remote_port = 6101

# 客户端 B（客户 B）
[mysql]
type = tcp
local_ip = 127.0.0.1
local_port = 3306
remote_port = 6102

配合 fail2ban：因为所有 frpc 看到的来源都是 127.0.0.1，必须在 frps 端 配置 fail2ban，按 frps 日志里的真实 IP 拉黑。

1
2
3
4


# /etc/fail2ban/filter.d/frps.conf
[Definition]
failregex = ^.*get a user connection \[<HOST>:[0-9]*\]
ignoreregex = ^.*\[.*gateway.*

八、常见问题

8.1 连接后立即断开

检查 VPS 的 7000 和 remote_port 是否在安全组/防火墙开放
客户端 server_addr 写错（写成了内网 IP）
token 不一致

8.2 速度慢

frp 走 TCP 中转，带宽 = min(VPS 上行, frpc 上行)
加密模式 stcp/xtcp 略增加 CPU 消耗
大文件传输考虑 rclone + 临时公网 OSS

8.3 0.50+ 升级后 INI 不识别

frp 0.50 删除了对 INI 的支持，统一 TOML。用 v0.43.0 仍是 INI，v0.52.3 之后基本 TOML 化。

九、卸载

1
2
3
4
5
6


systemctl stop rpc
systemctl disable rpc
rm -rf /etc/systemd/system/rpc.service
rm -rf /usr/local/games/rp
systemctl daemon-reload
systemctl reset-failed rpc

小结

frp 0.20~0.43 是经典 INI 时代，0.50+ 切到 TOML，核心架构没变：主动连接 + 长隧道 + 端口映射。生产部署三个要点：

必设 token，避免被白嫖
配合 fail2ban，按 frps 日志真实 IP 拉黑攻击者
systemd 守护 + Restart=always，客户端断开自动重连

下一步：

把 frps 配合 nginxWebUI 做证书自动续期（HTTP 代理场景）
用 stcp/xtcp 加密模式暴露 SSH
高敏感服务用 WireGuard 替代 frp（点对点，无中转）

2024 视角：frp 0.59+ 在云原生时代的"角色变化"

2017 那篇 frp 是"内网穿透神器"。2024 视角下，frp 仍是经典，但有 3 个新选择更激进。

一、frp 版本进化（2024 主流）

frp 0.59+（2024-06 起持续更新）：全面 TOML 化，INI 已被废弃。
新特性：
- WebSocket over TLS（2024）：WSS 模式走 443 端口，能穿透企业防火墙
- QUIC 协议（实验性）：UDP 传输，比 TCP 模式延迟低 20%
- 带宽限制 / 速率统计：精确控制客户端带宽
- 多 frpc 共享 frps：跨 NAT 设备互联

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12


# frps.toml (0.59+)
bindAddr = "0.0.0.0"
bindPort = 7000
auth.method = "token"
auth.token = "your_strong_token"

# 启用 WSS（重要：能穿透企业防火墙）
transport.websocket.enable = true
transport.websocket.url = "/_frp_ws"

# 启用 QUIC（2024 新）
transport.quic.enable = true

二、Cloudflare Tunnel——2024 主流替代

Cloudflare Tunnel（cloudflared）：不需要公网 VPS——Cloudflare 边缘做"中转"。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12


# 装
curl -fsSL https://pkg.cloudflare.com/cloudflare-main.gpg | sudo tee /usr/share/keyrings/cloudflare-main.gpg >/dev/null
echo 'deb [signed-by=/usr/share/keyrings/cloudflare-main.gpg] https://pkg.cloudflare.com/cloudflared focal main' | sudo tee /etc/apt/sources.list.d/cloudflared.list
apt update && apt install cloudflared

# 登录
cloudflared tunnel login
cloudflared tunnel create my-tunnel
cloudflared tunnel route dns my-tunnel myapp.example.com

# 启动（后台）
cloudflared tunnel --config /etc/cloudflared/config.yml run my-tunnel

1
2
3
4
5
6
7
8


# /etc/cloudflared/config.yml
tunnel: my-tunnel
credentials-file: /root/.cloudflared/xxxxxx.json

ingress:
 - hostname: myapp.example.com
 service: http://localhost:3000
 - service: http_status:404

优势：
- 不需要公网 VPS（Cloudflare 边缘免费）
- 零暴露端口（只用 HTTPS 443 出站）
- Cloudflare 整套生态：CDN / WAF / DDoS 防护 / 零信任鉴权
- 免费 50 个 tunnel / 1000 次请求/秒
2024 大量新项目用 Cloudflare Tunnel 替代 frp。

三、Tailscale —— “点对点 VPN” 替代内网穿透

2017 那篇 frp 是"反代中转"。2024 主流是 P2P VPN：

1
2
3
4


# 装 Tailscale
curl -fsSL https://tailscale.com/install.sh | sh
tailscale up
# 自动获得 100.x.x.x 虚拟 IP

Tailscale SSH 替代 SSH 隧道：
- 不需要公网 IP
- 不需要 frp 中转
- 鉴权走 Tailscale ACL（不是 SSH 公私钥）

1
2
3
4


# 直接 SSH 任何 Tailscale 设备
ssh user@machine-name
# Tailscale 自动协商点对点连接（UDP 打洞）
# 如果 P2P 失败，自动 fallback 到 Tailscale DERP 中转（仍比 frp 简单）

Tailscale ACL（基于 WireGuard）：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10


// tailscale ACL
{
 "acls": [
 {
 "action": "accept",
 "src": ["group:dev"],
 "dst": ["tag:prod-server:22"]
 }
 ]
}

四、frp 在 K8s 时代的"角色"

2024 趋势：K8s 项目用 Ingress + Cloudflare Tunnel 替代 frp。
frp 仍在用的场景：
- 自建机房（无 Cloudflare）
- 临时调试（1 小时建一个隧道）
- 边缘设备（IoT / 工厂）
- 企业内网（不能用 Cloudflare）

五、frp 安全加固的"现代"姿势

2017 那篇给 token 鉴权。2024 升级：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10


# frps.toml - 强认证
auth.method = "token"
auth.token = "<random-32-chars>"
auth.additionalScopes = ["Heartbeat"]

# TLS 加密（防中间人）
transport.tls.force = true

# 限速（防滥用）
transport.maxPoolCount = 5

1
2
3
4
5
6
7


# frpc.toml - 强认证
auth.method = "token"
auth.token = "<random-32-chars>"

# 多重 TLS
transport.tls.enable = true
transport.tls.disableCustomTLSFirstByte = false

六、frp 性能优化

2024 实测：frp 0.59+ 在 1Gbps 内网下，单 tunnel 可达 800+ Mbps（TCP 直连）。
多 tunnel 负载（frp 0.59+）：

1
2
3
4
5
6
7


[[proxies]]
name = "web1"
type = "tcp"
localPort = 80
remotePort = 8080
# 启用多路复用
transport.bandwidthLimit = "100MB"

QUIC 协议（2024 实验）：减少握手延迟（首次连接 0-RTT）。

七、frp 的"替代品"对比（2024）

工具	架构	适用
frp	客户端-服务器	自建 VPS、临时穿透
Cloudflare Tunnel	客户端-Cloudflare 边缘	不需要 VPS、零信任
Tailscale	P2P（WireGuard）	长期组网、家庭 / 远程办公
ZeroTier	P2P + Controller	多平台、大规模
nps（国产）	客户端-服务器	国内网络、简单场景
lanproxy（国产）	Java 写	简单 Java 项目集成
rathole（2022+）	Rust 写	性能敏感、嵌入式
bore（Rust）	极简	个人项目、临时调试

八、frp + Cloudflare Tunnel 的"混合"

2024 一些项目同时用 frp + Cloudflare Tunnel：
- frp 做"内网到 VPS"的隧道
- Cloudflare Tunnel 做"VPS 到公网"的暴露
- 效果：VPS 的 IP 永远不暴露（Cloudflare 边缘代为接受流量）

九、AI 时代的"运维代理"

2024 LLM 时代：AI Agent（如 Claude Code / Devin）需要 SSH 访问内网服务器。
Tailscale / Cloudflare Tunnel 让 AI Agent 不需要公网 IP 就能访问内网。
未来：frp 在 AI Agent 场景会"云化"——AI Agent 通过 Tunnel 远程执行命令。

源文档：

os/linux/第三方tools/net/frp/内网穿透.md（内网穿透场景、systemd 模板、Docker 部署）
os/linux/第三方tools/net/frp/frp.md（多客户端批量配置、fail2ban 集成、TOML 新格式）