彻底搞懂 Go语言内网穿透原理与实现
本文将系统介绍内网穿透的基础概念、原理与场景,深入分析如何基于Go语言构建一个自定义的 TCP 内网穿透代理,适合希望自己实现 ngrok/FRP 类工具的开发者。
一、内网穿透系统总体架构
[公网访问者] ---> [公网Server] ---> [连接管理器] ---> [隧道] ---> [内网Client] ---> [本地服务]
| 模块 | 功能说明 |
|---|
| Server(公网) | 监听公网端口,分发请求,连接 Client |
| Controller | 管理映射关系、建立安全通道、心跳维持 |
| Client(内网) | 主动连接 Server,处理本地数据 |
| Tunnel(隧道) | 封装数据协议,实现转发 |
| LocalService | 本地监听的 Web 或 API 服务 |
二、关键机制分层讲解
1. 控制连接 & 数据连接分离
- 控制连接:用于注册、心跳、调度。
- 数据连接:用于实际数据传输。
2. TCP打洞(可选)
本文暂聚焦 TCP 通道,打洞不作深入。
三、协议设计与握手机制
[TUNNEL_HEADER][CONNECTION_ID][COMMAND][PAYLOAD]
| 字段 | 含义 |
|---|
| TUNNEL_HEADER | 固定字节标识 |
| CONNECTION_ID | 区分连接 |
| COMMAND | 如 NEW_CONN / DATA / CLOSE |
| PAYLOAD | 实际内容 |
四、Server 模块示例
type TunnelConn struct {
ID string
UserConn net.Conn
PeerConn net.Conn
}
func (tm *TunnelManager) Add(id string, conn *TunnelConn) {
tm.lock.Lock()
defer tm.lock.Unlock()
tm.conns[id] = conn
}
五、安全连接:基于TLS的双向认证
cert, _ := tls.LoadX509KeyPair("server.crt", "server.key")
config := &tls.Config{
Certificates: []tls.Certificate{cert},
ClientAuth: tls.RequireAndVerifyClientCert,
}
六、多隧道映射(配置支持)
{
"tunnels": [
{
"local_port": 8080,
"remote_port": 9000
},
{
"local_port": 3306,
"remote_port": 10000
}
]
}
七、多路复用实现思路
- 使用 connection_id 进行标识
- 在一个连接内封装多个逻辑通道
八、调试技巧
| 问题 | 解决方案 |
|---|
| 无法访问公网端口 | 检查 NAT/防火墙 |
| 内网请求不到 | 检查转发链路 |
| TLS 报错 | 检查证书匹配 |
| 延迟大 | 优化连接复用 |
九、参考项目对比
| 项目 | 核心语言 | 特点 |
|---|
| Ngrok | Go | SaaS + 子域名 |
| FRP | Go | 多协议 |
| 自研 | Go | 教学清晰 |
扫一扫
55
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
