直连模式、反代模式与子域模式
一句话先区分
子域模式:把同一父域下的多个子域统一接到同一个网关端口,再按 Host 分发到不同 Web 服务,这是当前最推荐的主线路线反代模式:把7999当统一网关,通常配合FRP/Cloudflared,按路径把流量转发到不同服务直连模式:把7999当登录闸口,登录后对白名单中的当前 IP 放行原始端口,只建议在确实还要访问原始端口时使用
如果你只记住一句判断标准,可以这样选:
“我能不能用域名和子域把 Web 服务都接进统一网关?”
- 有公网入口和域名,想用
alist.example.com这类独立子域:优先子域模式 - 没有公网 IP,或必须依赖
FRP/Cloudflared:使用反代模式 - 仍然必须访问
5666、8080这类原始端口:再考虑直连模式
运行原理图
直连模式
反代模式
子域模式
三种模式的核心差异
| 对比项 | 直连模式 | 反代模式 | 子域模式 |
|---|---|---|---|
| 统一入口的角色 | 登录闸口 | 路径网关 | Host 网关 |
| 访问成功后的结果 | 对当前 IP 放行其他端口 | 继续按路径访问子服务 | 继续按子域访问子服务 |
| 主要配置对象 | 白名单、认证、证书 | 映射、隧道、证书 | 子域映射、鉴权服务、证书、DDNS |
| 典型访问形式 | 域名:7999 登录后再访问其他端口 | https://example.com/alist | https://alist.example.com:7999 |
| 是否依赖防火墙完成授权 | 是 | 否 | 否,防火墙主要用于收敛公网入口 |
是否适合 FRP / Cloudflared | 不适合 | 很适合 | 不适合主线路线 |
| 是否依赖域名规划 | 不强依赖 | 不强依赖 | 强依赖 |
| 最适合的服务类型 | 少量必须保留的原始端口 | 路径兼容良好的统一入口 | Web 服务子域入口 |
| 当前推荐程度 | 不推荐作为新部署首选 | 隧道场景推荐 | 默认优先推荐 |
直连模式适合谁
直连模式仍然存在,但不建议把它当成新部署的默认选择。
它只适合下面这些更明确的场景:
- 设备已经具备可直达的公网 IPv4 或 IPv6
- 你希望“先登录,再继续访问其他端口”
- 你本来就习惯通过端口访问飞牛和各类应用
- 某些客户端或老服务暂时无法改成 Web 子域入口
- 你不准备做
FRP/Cloudflared
切到直连模式后:
- 会启用基于防火墙的默认拒绝策略
- 对公网访问而言,默认只保留
7999作为登录入口 - 登录成功后,把当前 IP 自动加入白名单
- 局域网访问不会按同样方式被整体阻断
如果你已经有域名,并且主要访问对象是 Web 服务,通常应该优先改走:
反代模式适合谁
适合下面这些场景:
- 没有公网 IP
- 需要通过
FRP或Cloudflared暴露服务 - 想把多个服务挂在一个域名或入口下面
- 希望不同路径能独立控制是否要求认证
- 暂时没有条件让域名直接解析到自己的公网入口
切到反代模式后:
7999会成为统一网关- 可以继续配置映射、
FRP、Cloudflared - 服务发现通常会自动把飞牛 OS 保持为默认服务
- 会把客户端 IP 识别逻辑切换到更适合代理场景的模式
子域模式适合谁
这是当前最推荐优先评估的模式。
适合下面这些场景:
- 你有可直达的公网 IPv4 / IPv6
- 你已经有自己的域名,例如
example.com - 你希望每个服务都拥有独立子域,例如
alist.example.com - 你不想再维护
/alist、/nav这类路径前缀 - 你想保留“直达公网入口”的简单链路,但希望体验更适合 Web 服务
切到子域模式后:
- 所有域名及其业务子域,仍统一进入同一个网关端口
- 请求会按
Host分发,而不是按路径分发 - 通常会先保存域名,再通过
添加鉴权服务建好统一登录入口 - 业务子域可以按需选择
登录优先或严格白名单 - 如果还要补充
SSH、MySQL、Redis这类非 Web 入口,可以再配合 协议映射 - 系统会自动调整入站防火墙策略,把公网入口收敛到
7999 - 本机回环、已建立连接、局域网、链路本地和常见容器内网等必要流量会继续放行
如何快速做决定
优先选子域模式,如果你符合大多数以下条件
- 你有公网 IPv4 / IPv6
- 你有自己的域名,或愿意准备一个域名
- 你想让
auth.example.com、alist.example.com、nav.example.com共用同一个网关入口 - 你主要暴露的是 Web 服务,而不是原始端口
- 你希望后续继续接 EdgeOne / ESA / 智能连接 / 书签导出这类子域体验
选反代模式,如果你符合大多数以下条件
- 你没有公网 IP
- 你要接
FRP或Cloudflared - 你要通过
/alist、/photos、/nav这类路径组织多个服务 - 你希望所有外部访问都先经过同一个入口
只在必要时选直连模式,如果你符合大多数以下条件
- 你有公网 IPv4 / IPv6
- 你明确需要登录后继续访问
5666、8080、22这类原始端口 - 你暂时无法把目标服务改成子域入口或协议映射
- 你能接受“当前出口 IP 变化后,需要重新回到
7999刷新授权”的体验
模式切换时需要知道的风险
从反代切到直连
你需要确认已经理解下面这些变化:
- 直连模式通过防火墙策略工作,默认只保留
7999作为登录入口 7999在这个模式下主要负责登录,登录后才能访问其他端口- 不应该继续在直连模式中做内网穿透
- 如果你的主要访问对象已经是 Web 服务,更建议先评估子域模式,而不是回到直连模式
从反代切到子域
你需要确认已经理解下面这些变化:
- 访问心智会从“路径映射”切成“子域映射”
- 如果你之前已经添加过反代模式里的“映射路径”,建议先全部删除,再切换到子域模式
- 域名及其业务子域都应该直接解析到同一个公网入口
- 系统会在离开反代模式时先停止已经运行的
FRP/Cloudflared
从直连切到子域
你需要确认已经理解下面这些变化:
- 子域模式不再靠“登录后放行原始端口”作为主访问体验
- 你需要先规划域名、鉴权子域和业务子域
- 它更适合 Web 服务,而不是继续保留大量原始端口暴露习惯
这也是当前更推荐的升级方向。