2. 程式人生 > >使用 ssh 反向隧道穿透 NAT 訪問 Linux 內網主機

使用 ssh 反向隧道穿透 NAT 訪問 Linux 內網主機

阿新 發佈:2018-12-19

前言

由於公司經常會有專案需要去業主那邊搭建伺服器,基本不需要什麼流量所以就準備用 4G 網絡卡搭建。而該網絡卡無固定公網 ip,只有內網 ip,我們目的就是為了可以遠端操控以避免有時因業務需要往業主那邊跑,要是地方比較遠來回一趟也得花個把星期,不划算。所以就研究了下 ssh 隧道穿透來滿足我們的需求。

場景

現在我們有三臺機子:

  • A:公司內網電腦(Win 10)
  • B:公司內網伺服器(Linux,固定外網 ip:58.247.33.44,ssh 開放埠:8862)
  • C:業主那邊 4G 網絡卡搭建的伺服器(Linux,無固定外網 ip,ssh 開放埠:22)

操作前:A 可以訪問 B,C 能上網也能訪問 B,但是 B 不能訪問 C,A 不能訪問 C 我們需要滿足:A 可以訪問 C

當然,很多遠端桌面軟體可以滿足我們這個需求,但是由於太不方便和不穩定,還是考慮 ssh。(安裝 ssh 可見底文的附加安裝指令

配置

配置 B 伺服器

  • 修改伺服器上的 sshd 設定

vim /etc/ssh/shhd_config 建議使用 vim,vim 比 vi 更強大(安裝 vim 可見底文的附加安裝指令

  • 把 GatewayPorts 開啟(去掉前面的 # 號註釋,沒有就直接在底下新增)

GatewayPorts yes 開啟允許對映埠

  • 存檔後退出,並重新啟動 sshd (不知如何操作檔案的自行上網查閱)

service ssh restart 這個具體得看你 service 的實際名字(Ubuntu 下 service --status-all

可以檢視所有服務狀態)

配置 C 伺服器

可以進行對映操作了

ssh -NfR 1234:localhost:22 [email protected] -p8862

N 引數,表示只連線遠端主機,不開啟遠端shell。 f 引數,表示後臺執行。 R 引數接受三個值,分別是"遠端主機埠:目標主機:目標主機埠"。 p 引數,表示指定 ssh 對外開放的埠號。 user 是 B 伺服器的使用者。 這條命令的意思,就是讓 B 伺服器監聽它自己的 1234 埠,然後將所有資料經由 B 伺服器轉發到 C 伺服器的 22 埠。這就被稱為"遠端埠繫結"。

這裡每次連線需要輸入 B 伺服器的密碼,不太方便,待會再詳細介紹。

對映操作後我們可以發現在 B 伺服器上已經開啟了 1234 埠的監聽,已經可以通過 1234 埠進行 ssh 連線到 C 伺服器了。

金鑰驗證,直接登入

接回上面說的每次需要輸入密碼的問題,我們可以用 ssh 金鑰來實現自動登入。

在 C 伺服器上生成公鑰和私鑰

ssh-keygen (一直 enter)

ls ~ /.ssh/ 檢視是否生成,顯示如下

id_rsa id_rsa.pub known_hosts

ssh-copy-id [email protected] 複製到 B 伺服器中

好了,這樣就不需要每次都輸入 B 伺服器密碼了。

autossh 實現自動重連

由於上述的 ssh 反向連線十分不穩定,可能隨時斷開,一旦斷開就無法進行訪問了。所以我們需要 autossh,它可以實現自動重連。(安裝 autossh 可見底文的附加安裝指令

autossh -M 5678 -NR 1234:localhost:22 [email protected] -p8862

M 引數,指定了 autossh 的監聽埠,監聽是否斷開然後進行重連操作 autossh 本身就是後臺執行,所以就省去了 f 引數。

到這裡就很完美了,可是還不夠。要是 C 伺服器宕機重啟了怎麼辦,autossh 又不會自動執行。

實現開機自啟

這裡以 Ubuntu 18.04 為例。

ls /lib/systemd/system 執行該指令我們可以看到許多啟動指令碼,我們需要操作的就是 rc.local.service

開啟指令碼內容,我們在最後面加上一段:

[Install]  
WantedBy=multi-user.target  
Alias=rc-local.service

儲存退出。

由於 ubuntu-18.04 預設是沒有 /etc/rc.local 這個檔案的,需要自己建立。

sudo touch /etc/rc.local
chmod 755 /etc/rc.local

這裡千萬別忘記給 rc.local 檔案設定可執行許可權,不然沒用。

rc.local 中你就可以編寫指令碼了。注意開頭 #!/bin/bash 不可少

例如我的是:

#!/bin/bash
LOG_TIME=`date "+%Y-%m-%d %H:%M:%S"`
echo '123456' | sudo -S autossh -M 5678 -NR 1234:localhost:2223 [email protected] -p8862
echo "autossh restart:"$LOG_TIME >>/usr/local/autossh.log

這裡我是用 root 許可權執行,123456 是 C 伺服器的使用者密碼。 >> 表示追加,不覆蓋。同時列印了執行的時間。

最後一步,前面我們說 systemd 預設讀取 /etc/systemd/system 下的配置檔案, 所以還需要在 /etc/systemd/system 目錄下建立軟連結。

ln -s /lib/systemd/system/rc.local.service /etc/systemd/system/

可以了,重啟系統檢視指令碼是否執行,日誌中是否有內容。

參考博文

筆者參考瞭如下博文並進行了整理實驗:

附加安裝

  • 更新源列表

sudo apt-get update

  • 安裝 ssh

sudo apt-get install openssh-client 安裝客戶端 (反向隧道需要)

sudo apt-get install openssh-server 安裝服務端

  • 安裝 vim
sudo apt-get remove vim-common
sudo apt-get install vim

Ubuntu 18.04 中 vi 方向鍵有點問題,vim 很好用。

  • 安裝 autossh

sudo apt-get install autossh

  • 安裝 net-tools

當發現輸入 ifconfig 不可用時

sudo apt install net-tools 裝之

相關推薦

使用 ssh 反向隧道穿透 NAT 訪問 Linux 主機

前言 由於公司經常會有專案需要去業主那邊搭建伺服器,基本不需要什麼流量所以就準備用 4G 網絡卡搭建。而該網絡卡無固定公網 ip,只有內網 ip,我們目的就是為了可以遠端操控以避免有時因業務需要往業主那邊跑,要是地方比較遠來回一趟也得花個把星期,不划算。所以就

NAT穿透(兩個不同主機通訊)

在網路編碼中會發現程式在區域網中是可以適用的,但是在外網與內網之間和內網與內網之間就不可行。  問題就在於NAT。首先介紹下NAT。 NAT的作用NAT(Network Address Translator),網路地址轉換。顧名思義,它是一種把內部私有網路IP地址翻譯成公有網路IP地址的技術,如圖5-1所示。

SSH反向隧道穿透

pre ssp sts mnt ast rap root eve ports 環境如下: A機器兩塊網卡eth0(192.168.0.173)、eth1(192.168.100.1),eth0可以上外網,eth1僅僅是內部網絡,B機器只有eth1(192.168.100.3

SSH反向隧道進行穿透

對應的情況 這篇文章主要介紹瞭如何利用SSH 反向隧道穿透NAT,並演示瞭如何維持一條穩定的SSH 隧道。 假設有機器A 和B,A 有公網IP,B 位於NAT 之後並無可用的埠轉發,現在想由A 主動向B 發起SSH 連線。由於B 在NAT 後端,無可用公網IP + 埠 這樣一個組合,所以

ssh反向代理實現NAT穿透[ssh版teamviewer]

由於實驗室伺服器沒有公網IP,如果在校外網的話只能通過teamviewer遠端桌面連線,然而teamviewer的資料傳輸是基於影象的,反應太慢了,所以一直在尋找ssh版的teamviewer,經過谷歌,發現只需要一臺公網伺服器作為中轉站,就可以實現在任何地方登

使用SSH反向隧道進行穿透

這篇文章主要介紹瞭如何利用SSH 反向隧道穿透NAT,並演示瞭如何維持一條穩定的SSH 隧道。 假設有機器A 和B,A 有公網IP,B 位於NAT 之後並無可用的埠轉發,現在想由A 主動向B 發起SSH 連線。由於B 在NAT 後端,無可用公網IP + 埠 這樣一個組合,所以A 無法穿透NAT,這篇文章

讓AWS虛機訪問公司資源(SSH反向代理)

背景說明 今天我要將AWS虛機升級到beta版本並進行一些測試。 由於beta版本只在公司內網提供,因此我需要將升級用的檔案手動拷貝到AWS虛機中。原始的方法,很容易理解: 用AWS上能找到的最新版本AMI啟動一個虛機。 將映象檔案RHEL-7.4-201706

SSH隧道與埠轉發及穿透繫結本地埠

ssh是一種安全的傳輸協議,我一般使用就是在登陸伺服器或遠端執行命令,最近我意識到這是個強大的命令。 開講~ 本地ssh隧道 工作中由於防火牆導致訪問某些網站或某些ftp連線超時,有什麼解決辦法呢。ssh隧道就是一種解決方式。 首先你需要了解一些資訊: 你自己

frp 穿透實現 ssh 訪問主機

本文目的 frp 是一個可用於內網穿透的高效能的反向代理應用,支援 tcp, udp, http, https 協議。 本文將基於 frp 來實現內網穿透,從而實現從外網 ssh 登入內網主機,而不對 frp 其他的應用做過多的說明。 frp 的作用

利用ssh反向隧道將家裡的樹莓派提供給外訪問

參考文件 其實步驟很簡單,但是有一個必要條件,就是必須有一臺擁有外網ip的伺服器,本文使用的國外vultr提供的虛擬伺服器,將它作為ssh反向隧道的中轉站。 以下是三臺機器的描述。 機器代號 機器位置 地址 賬戶 埠 是否執行sshd

通過ssh反向隧道及nginx反向代理實現外控制nodemcu晶片

基本思路:通過ssh反向隧道實現外網伺服器埠到內網中繼伺服器埠的轉發,通過配置內網中級伺服器nginx反向代理,將外網發過來的請求轉發到目標伺服器上。最後實現通過訪問外網ip轉到訪問內網的目標伺服器。 (一)ssh反向隧道將外網伺服器埠轉發到內網中繼伺服器指定埠 (1)首

利用NAT&acl使得可以訪問isp

nat&acl實例操作實驗目的:使拓撲圖中的內網pc可以訪問外網實驗要求:內網網段是192.168.1.0/24 公司所購買公網ip是100.1.1.1 /24 ISP的一個路由器兩個端口ip分別是100.1.1.2/24 200.1.1.254/24 ISP服務器ip 200.1.1.1/

NAT靜態路由訪問(華為)

color 路由 內網訪問外網 add nat vpd 安全保護 inter 網段 1,實驗名稱:NAT靜態路由內網訪問外網(華為)2,實驗目的:將私有地址轉換為合法的IP地址,並解決IP地址不足的問題,而且還能有效的避免來自網絡外的攻擊。讓內網可以訪問外網,而外網不可以訪

利用ssh反向代理以及autossh實現從外連接服務器

作用 鏈接 沒有 AI tail oca 麻煩 版本 正向代理   1. 描述一下目前的機器狀況,梳理梳理:    機器 IP 用戶名 備註    A 10.21.32.106 gdut728 目標服務器,處於內網    B 123.123.123.123 root 外網服

使用frp通過ssh訪問公司機器

.gz 客戶 oca git 安裝包 公網 serve AR 公司 https://github.com/fatedier/frp/ github地址(具有中文文檔)從Release頁面下載安裝包本次是使用frp_0.20.0_linux_amd64.tar.gz版本通過S

SSH 反向隧道

這篇文章主要介紹瞭如何利用SSH 反向隧道穿透NAT,並演示瞭如何維持一條穩定的SSH 隧道。 假設有機器A 和B,A 有公網IP,B 位於NAT 之後並無可用的埠轉發,現在想由A 主動向B 發起SSH 連線。由於B 在NAT 後端,無可用公網IP + 埠 這樣一個組合,所以A 無法穿

通過ssh遠端埠轉發使外訪問機器

家裡有兩臺樹莓派平時在外面想訪問下   首先啟用伺服器端GatewayPort來使遠端網絡卡可以繫結,設定連線保持 vim /etc/ssh/sshd_config #修改以下屬性 GatewayPorts yes ClientAliveInterval 60 Client

利用ssh反向代理以及autossh實現從外連線伺服器

前言 最近遇到這樣一個問題,我在實驗室架設了一臺伺服器,給師弟或者小夥伴練習Linux用,然後平時在實驗室這邊直接連線是沒有問題的,都是內網嘛。但是回到宿舍問題出來了,使用校園網的童鞋還是能連線上,使用外網的小土豪就沒有辦法進入內網。這時能不能有一個辦法可以使得通過外

客戶端訪問校園的服務器——socket連接

ron 地址 分析 ora 客戶端 ref 情況 訪問 數據 在做客戶端與服務器的socket連接並發送數據應用中,通常有以下四種情況: 1)、客戶端在內網,服務器在內網。 對於這種情況,只需要用服務器的內網IP即可。 2)、客戶端在外網,服務器在內網。 對於這種情況,服務

利用vps實現訪問公司windows遠程桌面

馬哥教育 linux 服務端:vps客戶端:windows主機 vps安裝、配置、後臺運行frp server。 訪問https://github.com/fatedier/frp/releases 獲取vps系統對應的frp程序包。 連接vps,下載對應的程序包。 ~]# wget https:/