cftunnel 体验报告：Cloudflare Tunnel 一键管理工具实战解析

你的内网服务还在用复杂配置?

每次想把本地开发的服务暴露给外部审查，要么折腾 SSH 隧道，要么手动敲一堆 cloudflared 命令，还容易因为配置错误反复重来。如果你恰好在用 OpenClaw 做开发，这个过程可以更简单——cftunnel 就是来解决这个问题的。

cftunnel 是一个轻量级的 Cloudflare Tunnel 管理脚本，版本 0.8.1，目前在 GitHub 上已获得 269 Stars。它的核心思路是：把 tunnel 创建、域名绑定、证书管理这些操作封装成一条命令，让你专注于业务本身而不是工具配置。

工作原理：依托 Cloudflare Tunnel 网络

理解 cftunnel，先要明白它的底层依赖——Cloudflare Tunnel（原 Argo Tunnel）。

传统反向代理需要你在路由器上做端口映射，还要处理 NAT 问题。Cloudflare Tunnel 的思路完全不同：它从你的服务器主动向外建立连接，通过 Cloudflare 边缘节点中转流量。这样一来：

• 不需要公网 IP
• 不需要开放防火墙端口
• 流量自动经由 Cloudflare 加速和防护

cftunnel 在这个架构上做了一层封装。它通过调用 cloudflared 二进制文件完成 tunnel 创建和认证流程，同时生成必要的配置文件，使得隧道管理和开机自启变得可控。

安装与基础使用

项目提供了一键安装脚本，这是最快捷的方式：

curl -fsSL https://raw.githubusercontent.com/your-repo/cftunnel/main/install.sh | bash

安装完成后，基本的使用流程只需要三步：

# 1. 创建 tunnel 并获取 token
cftunnel create my-tunnel

# 2. 绑定域名
cftunnel link my-tunnel example.com

# 3. 启动服务
cftunnel start my-tunnel

生成的配置文件默认放在 ~/.cftunnel/ 目录下，每个 tunnel 有独立的 INI 配置。如果你的 OpenClaw 服务运行在本地 8080 端口，启动后直接通过 example.com 访问就是已备案的 HTTPS 域名。

架构设计亮点

cftunnel 的设计有几个值得注意的地方。

配置文件分离。每个 tunnel 对应一个独立配置文件，修改某个服务的代理规则不需要动全局配置。这比直接用 cloudflared tunnel run --token 这种单行命令更易于维护。

服务化支持。脚本内置 systemd 服务生成逻辑，执行 cftunnel enable my-tunnel 会自动创建服务文件并设置开机自启。对于需要长期运行的穿透服务，这个功能很实用。

多 tunnel 管理。通过 cftunnel list 可以查看当前所有 tunnel 的状态，包括连接时长和流量统计。如果你有多个内网服务需要分别暴露给不同域名，这种统一管理界面减少了记忆成本。

与传统方案对比

如果你之前用原生 cloudflared 管理 tunnel，可能会遇到这些问题：

• 需要手动下载二进制、配置 PATH
• token 过期后要重新生成，容易遗漏
• 多 tunnel 并存时配置分散，难以批量操作

cftunnel 并不是重复造轮子，它做的是降低使用门槛。原生 cloudflared 的能力它完全复用，只是在交互层面做了简化。对比类似工具如 bore、frp，cftunnel 的优势在于：

• 依托 Cloudflare 全球网络，无需额外中转服务器
• 天然支持 Cloudflare 的 DDoS 防护和 CDN 加速
• 免费额度足够个人开发和小规模部署

适用场景

cftunnel 适合以下情况：

• 使用 OpenClaw 进行开发，需要临时或长期暴露服务给外部
• 本地测试环境需要被外部同事或客户访问
• 在没有公网 IP 的云服务器上部署应用
• 希望借助 Cloudflare 网络提升访问速度和安全性

如果你的业务对稳定性和 SLA 有更高要求，建议还是使用 Cloudflare Tunnel 的官方付费方案。cftunnel 作为管理工具本身不提供额外的可用性保障。

核心功能覆盖了 tunnel 管理的完整生命周期，从创建到启动再到服务化。v0.8.1 版本在配置文件解析和多 tunnel 并行管理上有明确改进。如果你正在寻找一个轻量级的 Cloudflare Tunnel 管理方案，cftunnel 值得关注。