轉(zhuǎn)載自 ? 寧哥的小站 ? SSH端口轉(zhuǎn)發(fā)實(shí)現(xiàn)內(nèi)網(wǎng)穿透

“世界上最遙遠(yuǎn)的距離就是你在外網(wǎng)請(qǐng)求，我在內(nèi)網(wǎng)測(cè)試〕镌＃”

這句話(huà)的內(nèi)容档悠，對(duì)于開(kāi)發(fā)人員來(lái)說(shuō)粱侣，特別容易理解傻粘。很多情況下熏纯，我們的開(kāi)發(fā)及測(cè)試環(huán)境在單位的內(nèi)網(wǎng)下，只能通過(guò)位于內(nèi)網(wǎng)的機(jī)器來(lái)連接操作先口，位于外網(wǎng)的機(jī)器是連不到內(nèi)網(wǎng)環(huán)境的。比如說(shuō)蜻拨，如果我們周末在家工作池充，而家里的機(jī)器又不在單位內(nèi)網(wǎng)環(huán)境下，那該如何連接內(nèi)網(wǎng)的環(huán)境呢缎讼？難不成我們還要大周末的跑到單位去加班嗎收夸？

答案是否定的。這是種普遍又迫切的需求血崭，叫“內(nèi)網(wǎng)穿透”卧惜。這里我們使用SSH端口轉(zhuǎn)發(fā)的技術(shù)，解決這種問(wèn)題夹纫。

SSH本地端口轉(zhuǎn)發(fā)

image

假設(shè)咽瓷，host1和host2位于內(nèi)網(wǎng)，host3位于外網(wǎng)舰讹，host3可以連接host1和host2茅姜，但host1不能連接host3和host2。我們要做的是月匣，通過(guò)位于外網(wǎng)的host3钻洒，讓host1來(lái)連接host2奋姿。

具體步驟

首先，在host1上進(jìn)行如下操作：

ssh -L 2222:host2:22 user3@host3

其中素标，-L參數(shù)指定了“本地主機(jī)端口:目標(biāo)主機(jī):目標(biāo)主機(jī)端口”称诗。這表示，讓host1作為sshd服務(wù)端头遭，監(jiān)聽(tīng)它自己的2222端口寓免，然后將所有數(shù)據(jù)經(jīng)由host3，轉(zhuǎn)發(fā)到host2的22端口计维。

這種情況下袜香，host1不能連接host3，但由于host1的配置享潜，使得從host1到host3建立了一條“SSH隧道”困鸥。

然后，在host1上進(jìn)行如下操作：

ssh -p 2222 user2@localhost

其中剑按，-p參數(shù)指定了ssh連接的端口疾就，默認(rèn)為22，這里指定了2222端口艺蝴。這表示猬腰，讓host1作為ssh客戶(hù)端，連接它自己的2222端口猜敢，相當(dāng)于連接host2的22端口姑荷。

一般情況下，host2與host3為一臺(tái)主機(jī)缩擂，換句話(huà)說(shuō)鼠冕，我們只要實(shí)現(xiàn)連接host3，那么再連接host2也不成問(wèn)題胯盯。

這時(shí)懈费，命令分別轉(zhuǎn)換為：

ssh -L 2222:localhost:22 user3@host3
ssh -p 2222 user3@localhost

SSH本地端口轉(zhuǎn)發(fā)的本質(zhì)

本質(zhì)上，SSH本地端口轉(zhuǎn)發(fā)博脑，主要是實(shí)現(xiàn)以下兩個(gè)方面：

1\. 將本地主機(jī)的端口憎乙，轉(zhuǎn)發(fā)到目標(biāo)主機(jī)的端口
2\. 在本地主機(jī)上，連接本地主機(jī)的端口叉趣，相當(dāng)于連接目標(biāo)主機(jī)的端口

SSH遠(yuǎn)程端口轉(zhuǎn)發(fā)

image

假設(shè)泞边，host1和host2位于內(nèi)網(wǎng)，host3位于外網(wǎng)疗杉，host1可以連接host3和host2阵谚，但host3不能連接host1和host2。我們要做的是，通過(guò)位于內(nèi)網(wǎng)的host1梢什，讓host3來(lái)連接host2闻牡，也就是實(shí)現(xiàn)所謂的“內(nèi)網(wǎng)穿透”。

具體步驟

首先绳矩，在host1上進(jìn)行如下操作：

ssh -R 2222:host2:22 user3@host3

其中，-R參數(shù)指定了“遠(yuǎn)程主機(jī)端口:目標(biāo)主機(jī):目標(biāo)主機(jī)端口”玖翅。這表示翼馆，讓host3作為sshd服務(wù)端，監(jiān)聽(tīng)它自己的2222端口金度，然后將所有數(shù)據(jù)經(jīng)由host1应媚，轉(zhuǎn)發(fā)到host2的22端口。

這種情況下猜极，host3不能連接host1中姜，但由于host1的配置，使得從host1到host3建立了一條“SSH反向隧道”跟伏。

然后丢胚，在host3上進(jìn)行如下操作：

ssh -p 2222 user2@localhost

其中，-p參數(shù)指定了ssh連接的端口受扳，默認(rèn)為22携龟，這里指定了2222端口。這表示勘高，讓host3作為ssh客戶(hù)端峡蟋，連接它自己的2222端口，相當(dāng)于連接host2的22端口华望。

一般情況下蕊蝗，host2與host1為一臺(tái)主機(jī)，換句話(huà)說(shuō)赖舟，我們只要實(shí)現(xiàn)連接host1蓬戚，那么再連接host2也不成問(wèn)題。

這時(shí)建蹄，命令分別轉(zhuǎn)換為：

ssh -R 2222:localhost:22 user3@host3
ssh -p 2222 user1@localhost

SSH遠(yuǎn)程端口轉(zhuǎn)發(fā)的本質(zhì)

本質(zhì)上碌更，SSH遠(yuǎn)程端口轉(zhuǎn)發(fā)，主要是實(shí)現(xiàn)以下兩個(gè)方面：

1\. 將遠(yuǎn)程主機(jī)的端口洞慎，轉(zhuǎn)發(fā)到目標(biāo)主機(jī)的端口
2\. 在遠(yuǎn)程主機(jī)上痛单，連接遠(yuǎn)程主機(jī)的端口，相當(dāng)于連接目標(biāo)主機(jī)的端口

SSH實(shí)現(xiàn)內(nèi)網(wǎng)穿透

內(nèi)網(wǎng)穿透劲腿，簡(jiǎn)單來(lái)說(shuō)就是旭绒，利用位于外網(wǎng)的主機(jī)，來(lái)連接位于內(nèi)網(wǎng)的主機(jī)，這符合SSH遠(yuǎn)程端口轉(zhuǎn)發(fā)的情況挥吵。但由于實(shí)際情況中重父，SSH連接經(jīng)常由于這樣那樣的問(wèn)題，導(dǎo)致連接斷開(kāi)忽匈，因此我們不得不重新去在內(nèi)網(wǎng)主機(jī)上建立與外網(wǎng)主機(jī)的連接房午，也就是維持這條“SSH反向隧道”，autossh能實(shí)現(xiàn)連接斷開(kāi)之后自動(dòng)重連功能丹允。

自動(dòng)重連

autossh與ssh用法類(lèi)似郭厌，只要將ssh命令替換成autossh命令即可，如下所示：

autossh -M 2345 -NTR 2222:localhost:22 user3@host3

其中雕蔽，-M參數(shù)指定了autossh監(jiān)聽(tīng)的端口折柠，注意這里與其轉(zhuǎn)發(fā)的端口要區(qū)分開(kāi)。

另外批狐，-N表示禁止執(zhí)行遠(yuǎn)程命令扇售，-T表示禁止分配偽終端，這兩個(gè)參數(shù)結(jié)合起來(lái)表示SSH連接不允許用戶(hù)交互執(zhí)行遠(yuǎn)程操作嚣艇，只能用來(lái)傳數(shù)據(jù)承冰，從而保證了遠(yuǎn)程主機(jī)的安全。

自動(dòng)登錄

每次重新建立連接髓废，autossh都需要確認(rèn)一下登錄身份巷懈。要保證自動(dòng)重連，前提就是要實(shí)現(xiàn)自動(dòng)登錄慌洪。

一種常見(jiàn)的做法顶燕，就是使用公鑰登錄進(jìn)行免密登錄，將host1上的公鑰傳送至host3上冈爹。這樣涌攻，每次在進(jìn)行SSH登錄的時(shí)候，host3都會(huì)向host1發(fā)送一段隨機(jī)字符串频伤，host1用自己的私鑰加密后將數(shù)據(jù)返回恳谎，然后host3用事先存好的公鑰對(duì)返回的數(shù)據(jù)進(jìn)行解密，如果成功憋肖，則證明host1的身份可信因痛，允許直接登錄，不再要求密碼岸更。

還有一種做法鸵膏，就是利用sshpass將密碼明文傳輸給autossh，如下所示：

sshpass -p "xxxxxx" autossh -M 2345 -NTR 2222:localhost:22 user3@host3

其中怎炊，-p參數(shù)指定了登錄的密碼谭企。除了命令行輸入密碼的形式廓译，sshpass還包含-f、-e等參數(shù)债查，分別支持文件輸入密碼及系統(tǒng)環(huán)境變量輸入密碼等形式非区，如圖所示。

image

其他端口

實(shí)現(xiàn)內(nèi)網(wǎng)穿透盹廷，除了轉(zhuǎn)發(fā)22端口外征绸，我們也可以轉(zhuǎn)發(fā)其他應(yīng)用的端口，如web服務(wù)的80端口俄占、mysql的3306端口等歹垫，這里就不一一細(xì)說(shuō)了。