反代模式上手

这页适合谁

如果你已经确认自己属于下面任一类用户，这一页就适合你：

• 没有公网 IP，需要内网穿透
• 想通过 FRP 或 Cloudflared 把内网服务暴露出去
• 想把多个服务统一挂到一个入口下
• 希望用路径区分不同服务，而不是登录后开放一堆原始端口

如果你其实：

• 已有公网 IPv4 / IPv6
• 已有自己的域名
• 更想使用 alist.example.com 这类独立子域

那么你更可能适合：

• 子域模式上手

反代模式的核心思路

反代模式的关键不是“先把 7999 暴露出去”，而是：

1. 先确定外部入口怎么进入 7999
2. 再在 7999 上完成认证
3. 最后按路径把请求分发给不同的本地服务

和直连模式相比，反代模式里最重要的配置对象不再是 IP 白名单，而是：

• 映射
• 证书
• FRP / Cloudflared

推荐的落地顺序

1. 切换到 反代模式
2. 配置 TOTP
3. 准备 SSL
4. 添加第一批映射
5. 确认默认服务保持为飞牛 OS
6. 选择 FRP 或 Cloudflared
7. 从外部地址验证访问

第 1 步：切换到反代模式

路径：系统设置 → 模式

切换后，系统的工作重点会变成：

• 由统一入口承接所有外部流量
• 依靠路径映射访问不同服务
• 通过上游代理或内网穿透把流量送到本机 7999

第 2 步：先把认证准备好

虽然反代模式更像网关，但认证仍然是外部访问的第一道门槛。

建议至少完成：

1. 绑定一个 TOTP 设备
2. 如有需要，再给自己的设备绑定 Passkey

推荐阅读：

• 认证体系总览
• 验证码设置
• TOTP 与密码器 App
• Passkey

第 3 步：确定是否先上 SSL

反代模式里建议尽早启用 SSL，尤其是：

• 你准备走 FRP
• 你要使用正式域名
• 你想让访问体验更稳定

特别是 FRP 场景，外部通常会直接以 https://你的公网地址:远端端口 的方式访问 7999，所以最好先把 fknock 本身的 HTTPS 配好。

详细说明见：

• SSL 证书

第 4 步：添加第一批映射

路径：路径映射

推荐先添加 1 到 2 个你最常用的服务，不要一开始就把所有服务全部接入。

方式一：一键发现

适合：

• 你本机已经跑了多个服务
• 你想先快速扫描再逐个勾选

操作顺序：

1. 点击 一键发现
2. 等待扫描完成
3. 勾选想接入的服务
4. 检查建议路径
5. 添加选中项

方式二：手动添加

适合：

• 你已经知道目标地址
• 想自己控制路径与选项

最常见的填写方式：

• 触发路径：/alist
• 目标地址：http://127.0.0.1:5244

更详细的字段说明见：

• 路径映射

第 5 步：确认默认服务保持为飞牛 OS

默认路由在大多数场景下不需要你手动设置。

当前产品的推荐做法是：

• 通过服务发现或一键发现接入服务后，让系统自动把 飞牛 OS 维持为默认服务
• 一般不要主动改动这个设置

这样做的好处是：

• 访问根地址 / 时，行为更稳定
• 新手更不容易把根入口改乱
• 后续排错时也更容易判断问题是不是出在映射本身

只有在你非常明确地希望根路径直接进入别的服务时，才建议再考虑手动调整默认路由。

可选：调整网关缓存和反代节流

路径：系统设置 → 网关

这一步不是第一次部署的必做项，但现在很值得知道它在哪。

这里可以直接调整：

• 成功 / 失败鉴权缓存时长
• 按客户端 IP 生效的反代节流参数

默认值通常已经够用，建议先跑通：

• 登录
• 路径映射
• 外部入口

只有在你已经确认链路能跑通，并开始遇到重复校验压力、高频探测或异常重试时，再回来细调。

第 6 步：选择公网接入方式

反代模式下最常见的两种方式：

FRP

适合你自己有 FRP 服务端、想完全掌控远端端口和链路的时候。

Cloudflared

适合你已经在使用 Cloudflare，希望尽量少维护一台公网服务器的时候。

详细对比和步骤见：

• 内网穿透
• Cloudflared 隧道配置

如果你还希望：

• 保持反代模式的统一认证
• 但又允许别人直接打开飞牛原生分享链接

还需要补看：

• 飞牛分享直通

反代模式通常不需要先配置 DDNS

这是一个很常见的误区。

如果你走的是：

• FRP
• Cloudflared

那么外部访问入口通常由 FRP 服务端或 Cloudflare Tunnel 提供，反代教程本身通常不把 DDNS 作为必做项。

DDNS 更常见于“域名直接指向你自己的公网 IP”的直连场景。

第 7 步：从外部地址完成验证

建议按这个顺序：

1. 先在本机或局域网确认目标服务本身可用
2. 再通过本机 7999 测试路径是否正常
3. 最后再从外部域名或隧道地址测试

典型测试地址示例：

• https://你的域名/alist
• https://你的域名/jellyfin
• https://你的域名/

登录成功后，你会看到右下角 toolbar 小组件

如果当前页面本身要求认证，那么在登录成功后，页面右下角默认会出现一个 toolbar 小组件。

在反代模式里，它最实用的作用就是：

• 在不同路径应用之间快速切换
• 直接从菜单里退出登录

另外它还支持拖动到屏幕四个角落，方便你根据页面布局自己调整位置。

反代模式常用功能页

• 验证码设置
• 路径映射
• 飞牛分享直通
• SSL 证书
• 内网穿透
• Cloudflared 隧道配置
• 认证体系总览
• 会话管理与 IP 轨迹
• 请求日志
• 日志、会话与安全防护

如果你希望按完整步骤一条线走完，直接继续：

• 用 fknock 搭建反代访问