飞牛原生 FPK 安装与首次配置
本页只介绍飞牛 OS 上的原生 fn-knock FPK。Docker Compose 请看 Docker 部署,路由器上的 OpenWrt 软件包请看 OpenWrt 部署,普通 Linux 主机请看 Linux systemd 部署,Windows 主机请看 Windows x86_64 部署。
安装前确认
从官方下载安装服务获取与飞牛设备架构相符的原生 FPK。当前原生包提供两种架构:
| 飞牛设备架构 | 选择的包 |
|---|---|
| x86-64(Intel / AMD) | fn-knock-amd64.fpk |
ARM64(aarch64) | fn-knock-arm64.fpk |
不要把 ARM64 包装到 32 位 ARM 设备上,也不要把其他部署包当作原生 FPK 安装。安装向导会要求设置四个端口;没有冲突时保留默认值即可。四个值必须都在 1–65535 之间,且不能重复。
| 默认端口 | 向导中的名称 | 用途 |
|---|---|---|
7998 | 管理后端端口 | 飞牛桌面图标通过本机代理访问的管理后端 |
7997 | 认证端口 | 登录、退出、Passkey 等认证页面服务 |
7996 | Go 管理端口 | 网关与管理端之间的内部 gRPC 通道 |
7999 | Go 代理端口 | 网关入口;外部访问服务时通常经过此端口 |
7998、7997 和 7996 不应作为公网入口转发。需要暴露服务时,只规划网关端口及其域名;具体开放方式取决于所选模式。
在飞牛中安装
- 打开飞牛的应用中心,进入手动安装入口并选择下载好的
.fpk文件。 - 在端口配置步骤确认四个端口;只有与现有服务冲突时才修改。
- 完成安装,等待应用状态变为运行中。
- 回到飞牛桌面,打开
敲门 knock图标。
桌面图标进入的是管理入口,不是给外部访问者使用的网关入口。修改应用设置中的端口后,应用会重启以应用新值。
首次配置的顺序
1. 选择访问模型
打开 系统设置 → 模式,按实际网络条件选择:
- 有公网入口和域名,主要暴露 Web 服务:优先子域模式。
- 需要 FRP、Cloudflared 等隧道:使用“内网穿透”;新部署选择其中的子域映射,路径映射只用于兼容旧方案。
- 必须在登录后继续访问设备原始端口:才考虑直连模式。
模式决定的是流量如何进入和路由,不是管理后台的访问地址。选择前先阅读 选择访问方案。
2. 建立登录凭据
在 认证配置 中先绑定至少一个 TOTP 令牌,再继续配置公网入口。将令牌保存在常用设备之外的另一台可信设备或离线备份中;只保留一部手机会让换机或遗失时无法登录。
如果要使用账号密码、Passkey 或外部账号登录,先完成基础凭据配置,再按对应页面继续设置:
3. 配置证书和入口
在建立映射、DDNS 或隧道前,先决定网关入口由谁暴露。需要 HTTPS 时,在 SSL 证书 中配置已有证书、ACME 或测试证书;证书、DNS 和端口转发必须指向同一条入口链路。
验证安装
安装完成后,先确认两件事:
- 从飞牛桌面打开
敲门 knock,能够进入管理后台。 - 完成一个最小映射后,从移动网络等真实外部链路访问网关域名或
7999,确认请求进入预期的认证和路由流程。
在局域网能打开桌面图标,只能证明应用已启动;它不能证明端口转发、DDNS、证书或公网认证已经正确。
常见问题
桌面图标打开后提示无法连接后端
先在应用中心确认 敲门 knock 正在运行,再检查四个端口是否与其他应用冲突。端口修改后需要等待应用重启完成;仍无法恢复时,查看应用日志中的启动错误。
管理后台可用,但外部访问失败
按链路排查:网关端口或域名是否可达、当前模式是否匹配、DNS/DDNS 是否正确、证书是否覆盖访问域名、上游隧道或端口转发是否指向 7999。不要用管理后台可访问来替代公网验证。
安全边界
fn-knock 用于收敛入口和前置认证,不能替代飞牛系统更新、备份、最小权限和业务服务自身的账号安全。在子域或隧道路由中,把管理端口或业务原始端口直接暴露到公网,会绕过网关。只有使用直连授权时,原始端口才应由 fn-knock 的防火墙规则按已授权来源 IP 临时放行。
继续阅读:
