从零到上线：用 frp + Nginx Proxy Manager 将家中 Windows 笔记本的 Docker 服务安全暴露到公网（v0.65.0，TOML 版）

面向场景：你在家里的 Windows 笔记本（Surface Laptop 2）上运行若干 Docker 服务（例如端口 3210、5432、8181），家中宽带在 大内网/NAT 后，没有公网 IP；你已有一台有公网 IP 的 云服务器，并已部署 Nginx Proxy Manager（NPM）。目标是通过 frp 建立安全隧道，让手机在 5G 外网也能访问这些服务。

NAT：网络地址转换，将大量私网地址通过少量公网地址上网，导致内网设备无法被公网主动访问。

一、架构与原理

家里笔记本安装并以“服务”方式运行 frpc（客户端），主动连接云服务器的 frps（服务端），形成一条加密的隧道。
外部请求访问云服务器（IP 或域名），由 Nginx Proxy Manager 反代到 frps 暴露的端口，再回源到家中笔记本对应的本地端口。
该方案绕过运营商 NAT 限制，稳定且安全。

text
手机/外网 → 域名(Nginx Proxy Manager, 云) → 127.0.0.1:远程端口(frps)
                                          ↓  frp 隧道
                                     家中 Windows: 本地端口 (Docker 服务)

隧道：指通过中间节点转发建立的端到端连接通道，常用于穿透内网或 防火墙。

二、版本与目录约定（重要）

frp 版本：v0.65.0（从该版本开始官方主推配置文件为 TOML，不再使用 INI）。
云服务器（Linux）frp 安装目录：/root/frp/frp_0.65.0_linux_amd64。
本地 Windows 目录示例：D:\frp_0.65.0_windows_amd64。
Windows 端以“系统服务”方式运行 frpc，避免关闭窗口导致进程退出。

TOML：一种人类友好的配置文件格式，键值以 key = "value" 表示，层级清晰、类型明确。

2025-11-13

Dify模型代理配置：通过SSRF代理链链接

很久没用Dify，新版本代理配置比0.x.x版本变得复杂了些。1.x.x版本后，通过将 Dify 内置的 ssrf_proxy 服务链接到一个上游代理（如 Clash），再让指定域名下的所有外部流量（特别是 plugin_daemon 服务）通过此代理链，可以有效解决OpenAI或者Gemini的api网络访问问题，同时保持配置的灵活性和安全性。

一、配置目标与架构

1. 核心目标

统一出口：为 ssrf_proxy 服务配置一个上游 HTTP 代理，使国外的模型的api域名，经由它的流量都通过这个指定的上游出口。（当然上游这个出口需要你自行代理，且可访问Google，这是前提条件）
域名通配匹配覆盖：让 plugin_daemon 服务的外网网络请求，强制通过 ssrf_proxy，从而实现对插件外部访问的全面代理。
简化配置：在 .env 文件中提供清晰的配置选项，方便用户在不同操作系统（macOS、Windows、Linux）上快速设置。