PHP服务外网不可访问的主因是php -S仅限本地调试,应改用Nginx+PHP-FPM生产架构,并逐层验证Nginx、PHP-FPM、frp链路。
外网访问不了 PHP 服务,大概率不是端口映射没设,而是你根本没在运行一个可被访问的 HTTP 服务——PHP 自带的 php -S 开发服务器默认只监听 127.0.0.1,连本机其他网卡都收不到请求,更别说内网穿透了。
为什么 php -S 在线上跑不通
很多人用 php -S 0.0.0.0:8000 测试本地开发,但上线后发现:内网穿透工具(如 frp、ngrok)连不上,或者连上了返回 502/连接拒绝。根本原因是:
-
php -S是单线程、无进程管理、无 HTTPS、无静态文件缓存的调试用服务器,不适用于生产环境,很多云主机或 Docker 容器里甚至会因缺少扩展或信号处理直接崩溃 - 即使加了
0.0.0.0,部分 Linux 发行版(如 CentOS Stream 9)或容器环境会默认屏蔽非 root 用户绑定低端口,或被 SELinux/firewalld 拦截 - 内网穿透依赖「本地服务能被穿透工具所在机器直连」,如果
curl http://127.0.0.1:8000都超时,frp 就不可能转发成功
正确做法:用 Nginx + PHP-FPM 替代 php -S
线上 PHP 服务必须走标准 CGI 模式。Nginx 负责接收外网/穿透请求,PHP-FPM 负责执行 PHP 逻辑。这是唯一稳定、可监控、可扩展的方案。
- 确认已安装
php-fpm(不是只有php-cli),运行systemctl status php-fpm查看是否 active - Nginx 配置中必须包含类似以下的
location ~ \.php$块,且fastcgi_pass指向正确的 socket 或 127.0.0.1:9000 - PHP-FPM 的
listen地址不能是127.0.0.1:9000如果 SELinux 启用,推荐改用 Unix socket(如/run/php-fpm/www.sock),并确保 Nginx 进程用户(如nginx)有读写权限 - 检查
php.ini中disable_functions是否禁用了exec等函数(某些穿透脚本依赖它们)
内网穿透配置要点(以 frp 为例)
frp 本身不解决 PHP 服务是否就绪的问题,它只做 TCP/HTTP 层转发。常见错误配置:
立即学习“PHP免费学习笔记(深入)”;
- frps(服务端)监听的端口(如
7000)被云厂商安全组或防火墙封掉,导致 frpc 连不上 —— 先 telnetfrps_ip 7000确认通路 - frpc 配置里
local_port = 80,但本地 Nginx 实际监听的是8080,导致流量被丢弃;应严格匹配local_port和 Nginx 的listen指令 - 用了
type = http却没配custom_domains,或域名 DNS 没解析到 frps IP,浏览器直接报 DNS 错误,不是端口问题 - HTTPS 穿透时,frpc 的
tls_enable = true必须和服务端一致,否则握手失败,现象是浏览器显示「连接已重置」
快速验证链路是否通畅
别一上来就调穿透,按顺序逐层验证:
- 在服务器上跑
curl -v http://127.0.0.1/→ 看 Nginx 是否返回 HTML(排除 PHP-FPM 和路径问题) - 从同一局域网另一台机器跑
curl -v http://服务器内网IP/→ 看是否能绕过 localhost 限制(排除 listen 配置或防火墙) - 确认 frpc 日志出现
start proxy success,且 frps 控制台显示该 client 在线 - 最后用公网机器 curl 穿透后的域名或 IP:port,配合
tcpdump -i any port抓包看请求是否抵达服务器
真正卡住的地方,90% 是 Nginx 没起来、PHP-FPM 没响应、或者 frpc 和 frps 版本不兼容(比如 frpc v0.54 无法连 frps v0.50)。端口映射只是最后一环,别让它背锅。
