frp增加IP限制

核心设计理念

传统frp安全方案的不足

• 静态配置文件管理白名单IP，修改需要重启服务
  
• 分布式环境下多节点配置同步困难
  
• 缺乏实时阻断恶意IP的能力
  

Redis作为动态白名单存储的优势

• 实时生效：IP规则变更无需重启frp服务
  
• 集中管理：多台frp服务器共享同一套白名单规则
  
• 高性能验证：Redis的极速查询能力支持高频率IP检查
  
• 灵活扩展：可与安全系统集成实现动态封禁
  

 
技术实现解析

在 frp/server/proxy/proxy.go 文件中的 handleUserTCPConnection 方法中，增加了对 Redis 动态白名单的校验逻辑，确保只有授权 IP 可访问代理服务。
示例代码如下（仅展示关键片段）：

1. func isIPAllowedV1(ctx context.Context, serverCfg *v1.ServerConfig, ip string) bool {
4.         xlog.FromContextSafe(ctx).Infof("Redis config: Addr=%s, Password=%s, DB=%d, EnableRedisIPWhitelist=%v",
5.     serverCfg.RedisAddr,
6.     serverCfg.RedisPassword,
7.     serverCfg.RedisDB,
8.     serverCfg.EnableRedisIPWhitelist,
9. )
10.         if !serverCfg.EnableRedisIPWhitelist {
11.                 return true
12.         }
14.        
16.         rdb := redis.NewClient(&redis.Options{
17.                 Addr:     serverCfg.RedisAddr,
18.                 Password: serverCfg.RedisPassword,
19.                 DB:       serverCfg.RedisDB,
20.         })
22.         xlog.FromContextSafe(ctx).Errorf("redis check isIPAllowed db %s",serverCfg.RedisDB)
24.         key := serverCfg.RedisWhitelistPrefix + ip
25.         exists, err := rdb.Exists(ctx, key).Result()
26.         if err != nil {
27.                 xlog.FromContextSafe(ctx).Errorf("redis check error for key [%s]: %v", key, err)
28.                 return false
29.         }
30.         return exists == 1
31. }
35. // HandleUserTCPConnection is used for incoming user TCP connections.
36. func (pxy *BaseProxy) handleUserTCPConnection(userConn net.Conn) {
37.         xl := xlog.FromContextSafe(pxy.Context())
38.         defer userConn.Close()
40.         // 添加白名单验证
41.         remoteIP, _, errx := net.SplitHostPort(userConn.RemoteAddr().String())
42.         if errx != nil {
43.                 xl.Warnf("invalid remote address: %v", errx)
44.                 return
45.         }
47.         //xl.Warnf("IP [%s] is not in whitelist, connection begin", remoteIP)
49.         if !isIPAllowedV1(pxy.ctx, pxy.serverCfg, remoteIP) {
51.         //if !isIPAllowed(pxy.ctx, &pxy.serverCfg.ServerCommon, remoteIP) {
52.                 xl.Warnf("IP [%s] is not in whitelist, connection rejected", remoteIP)
53.                 return
54.         }
55.          
56.                 xl.Warnf("IP [%s] isIPAllowed  ", remoteIP)
57.          
59.   // 后续代理连接逻辑

复制代码

 
WEB 服务端修改

• 前端使用VUE3，增加对应的菜单和组件
  
• 前端代码需要发到到目录assets\frps\static
  
• 服务端增加接口，文件路径 server\dashboard_api.go
  

1. // /api/redis
2. func (svr *Service) apiRedisWhitelist(w http.ResponseWriter, r *http.Request) {
3.         res := GeneralResponse{Code: 200}
4.         defer func() {
5.                 log.Infof("http response [%s]: code [%d]", r.URL.Path, res.Code)
6.                 w.WriteHeader(res.Code)
7.                 if len(res.Msg) > 0 {
8.                         _, _ = w.Write([]byte(res.Msg))
9.                 }
10.         }()
12.         log.Infof("http request: [%s]", r.URL.Path)
14.         // 初始化 Redis 客户端
15.         cfg := svr.cfg // 假设 svr.cfg 是你的 *ServerConfig
16.         rdb := redis.NewClient(&redis.Options{
17.                 Addr:     cfg.RedisAddr,
18.                 Password: cfg.RedisPassword,
19.                 DB:       cfg.RedisDB,
20.         })
21.         ctx := context.Background()
23.         // 扫描符合前缀的所有键
24.         var cursor uint64
25.         var ipList []IPItem
26.         prefix := cfg.RedisWhitelistPrefix
28.         for {
29.                 keys, newCursor, err := rdb.Scan(ctx, cursor, prefix+"*", 100).Result()
30.                 if err != nil {
31.                         res.Code = 500
32.                         res.Msg = "redis scan error: " + err.Error()
33.                         return
34.                 }
35.                 for _, key := range keys {
36.                         // 提取 IP
37.                         ip := strings.TrimPrefix(key, prefix)
39.                         // 获取过期时间
40.                         ttl, err := rdb.TTL(ctx, key).Result()
41.                         if err != nil {
42.                                 continue
43.                         }
45.                         var expireAt string
46.                         if ttl > 0 {
47.                                 expireAt = time.Now().Add(ttl).UTC().Format(time.RFC3339)
48.                         } else if ttl == -1 {
49.                                 expireAt = "永不过期" // 永不过期
50.                         } else {
51.                                 // 已过期或无效
52.                                 continue
53.                         }
55.                         ipList = append(ipList, IPItem{
56.                                 IP:       ip,
57.                                 ExpireAt: expireAt,
58.                         })
59.                 }
60.                 if newCursor == 0 {
61.                         break
62.                 }
63.                 cursor = newCursor
64.         }
66.         // 构建响应 JSON
67.         result := map[string]interface{}{
68.                 "status":    "success",
69.                 "whitelist": ipList,
70.         }
72.         buf, _ := json.Marshal(result)
74.         // 构造静态响应数据
75.         // svrResp := map[string]interface{}{
76.         //         "status": "success",
77.         //         "whitelist": []IPItem{
78.         //                 {
79.         //                         IP:       "192.168.1.100",
80.         //                         ExpireAt: "2025-06-01T12:00:00Z",
81.         //                 },
82.         //                 {
83.         //                         IP:       "10.0.0.0/24",
84.         //                         ExpireAt: "2025-06-10T00:00:00Z",
85.         //                 },
86.         //                 {
87.         //                         IP:       "127.0.0.1",
88.         //                         ExpireAt: "9999-12-31T23:59:59Z", // 永久有效
89.         //                 },
90.         //         },
91.         // }
93.         //        buf, _ := json.Marshal(&svrResp)
94.         res.Msg = string(buf)
95. }
97. // /api/addip
98. func (svr *Service) apiRedisAddIp(w http.ResponseWriter, r *http.Request) {
99.         res := GeneralResponse{Code: 200}
100.         defer func() {
101.                 log.Infof("http response [%s]: code [%d]", r.URL.Path, res.Code)
102.                 w.WriteHeader(res.Code)
103.                 if len(res.Msg) > 0 {
104.                         _, _ = w.Write([]byte(res.Msg))
105.                 }
106.         }()
108.         log.Infof("http request: [%s]", r.URL.Path)
109.         // 解析参数
110.         var req struct {
111.                 IP         string `json:"ip"`
112.                 ExpireDays int    `json:"expire_days"` // 0 表示永不过期
113.         }
114.         if err := json.NewDecoder(r.Body).Decode(&req); err != nil {
115.                 res.Code = 400
116.                 res.Msg = "invalid json"
117.                 return
118.         }
119.         if strings.TrimSpace(req.IP) == "" {
120.                 res.Code = 400
121.                 res.Msg = "ip is empty"
122.                 return
123.         }
125.         // Redis
126.         cfg := svr.cfg
127.         rdb := redis.NewClient(&redis.Options{
128.                 Addr:     cfg.RedisAddr,
129.                 Password: cfg.RedisPassword,
130.                 DB:       cfg.RedisDB,
131.         })
132.         ctx := context.Background()
134.         key := cfg.RedisWhitelistPrefix + req.IP
135.         var expiration time.Duration
136.         if req.ExpireDays <= 0 {
137.                 expiration = 0 // 永久
138.         } else {
139.                 expiration = time.Duration(req.ExpireDays) * 24 * time.Hour
140.         }
142.         err := rdb.Set(ctx, key, "", expiration).Err()
143.         if err != nil {
144.                 res.Code = 500
145.                 res.Msg = "redis set error: " + err.Error()
146.                 return
147.         }
149.         res.Msg = `{"status":"ok"}`
150. }
152. // /api/delip
153. func (svr *Service) apiRedisDelIp(w http.ResponseWriter, r *http.Request) {
154.         res := GeneralResponse{Code: 200}
155.         defer func() {
156.                 log.Infof("http response [%s]: code [%d]", r.URL.Path, res.Code)
157.                 w.WriteHeader(res.Code)
158.                 if len(res.Msg) > 0 {
159.                         _, _ = w.Write([]byte(res.Msg))
160.                 }
161.         }()
163.         var req struct {
164.                 IP string `json:"ip"`
165.         }
166.         if err := json.NewDecoder(r.Body).Decode(&req); err != nil || strings.TrimSpace(req.IP) == "" {
167.                 res.Code = 400
168.                 res.Msg = "invalid request"
169.                 return
170.         }
172.         cfg := svr.cfg
173.         rdb := redis.NewClient(&redis.Options{
174.                 Addr:     cfg.RedisAddr,
175.                 Password: cfg.RedisPassword,
176.                 DB:       cfg.RedisDB,
177.         })
178.         ctx := context.Background()
180.         key := cfg.RedisWhitelistPrefix + req.IP
181.         if err := rdb.Del(ctx, key).Err(); err != nil {
182.                 res.Code = 500
183.                 res.Msg = "delete redis key failed: " + err.Error()
184.                 return
185.         }
187.         res.Msg = `{"status":"deleted"}`
188. }

复制代码

　　
 
结语

frp-redis 项目通过结合 frp 的安全特性和 Redis 的灵活性，提供了一种相对安全的远程访问方案。开源这个项目是希望帮助更多开发者避免我遇到的这些问题，同时也欢迎社区贡献更好的安全实践。
在网络安全形势日益严峻的今天，作为开发者我们必须时刻保持警惕，采取纵深防御策略保护我们的服务和数据。frp-redis 只是这个过程中的一个小小尝试，但安全无小事，每一个环节都值得认真对待。
项目地址：https://github.com/wx37668827/frp-redis

来源：程序园用户自行投稿发布，如果侵权，请联系站长删除
免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！