接触Linux恐怕对SSH再熟悉不过了,还有scp,sftp各种方便的功能,一般的使用都需要ip:port(如果不是默认22的话),但有些情况比较特殊,就是想连接一台内网主机(比如公司内网,当然你肯定做不了Port Forwarding,除非你想在公司防火墙上拆个洞)。稍懂一点网络的童鞋会明白,Internet上去主动连接一台内网是不可能的,一般的解决方案分两种,一种是端口映射(Port Forwarding),将内网主机的某个端口Open出防火墙,相当于两个外网主机通信;另一种是内网主机主动连接到外网主机,又被称作反向连接(Reverse Connection),这样NAT路由/防火墙就会在内网主机和外网主机之间建立映射,自然可以相互通信了。但是,这种映射是NAT路由自动维持的,不会持续下去,如果连接断开或者网络不稳定都会导致通信失败,这时内网主机需要再次主动连接到外网主机,建立连接。
1.1.首先在B上执行
$ ssh -NfR 1234:localhost:2223 user1@123.123.123.123 -p2221
这句话的意思是将A主机的1234端口和B主机的2223端口绑定,相当于远程端口映射(Remote Port Forwarding)。
这里每次需要输入A主机user1的登陆密码,后面会讲到解决办法。
1.2.这时在A主机上sshd会listen本地1234端口
$ ss -ant
State Recv-Q Send-Q Local Address:Port Peer Address:Port
LISTEN 0 128 127.0.0.1:1234 *:*
1.3.像平时一样连接到A主机的1234端口就可以控制内网B主机了
$ ssh localhost -p1234
2.一开始提到,这种反向连接(Reverse Connection)不稳定,可能随时断开,需要内网主机B再次向外网A发起连接,这时需要个“朋友”帮你在内网B主机执行这条命令。它就是Autossh。
在此之前还要解决之前的一个问题,那就是每次内网主机B连接外网主机A时都需要输入密码,这个问题ssh本身是提供另外一种验证方式——通过密钥验证用户身份,实现自动登录。
2.1.在内网B主机上生产公钥和私钥
$ ssh-keygen ...(一直按Enter,后在~/.ssh/下生成密钥)
$ ls ~/.ssh/
id_rsa id_rsa.pub known_hosts
2.2.复制B主机上生成的id_rsa.pub公钥到外网A主机上,并将内容加入到~/.ssh/authorized_keys中
$ cat id_rsa.pub >> ~/.ssh/authorized_keys
试下,内网B主机连接外网A主机,就不再输入密码验证了
补充:今天了解到ssh-copy-id这个命令,上面这个操作就变的简单了
$ ssh-copy-id user1@123.123.123.123
2.3.再来看看Autossh的用法
$ autossh -M 5678 -NR 1234:localhost:2223 user1@123.123.123.123 -p2221
比之前的命令添加的一个-M 5678参数,负责通过5678端口监视连接状态,连接有问题时就会自动重连,去掉了一个-f参数,因为autossh本身就会在background运行。
$ ssh 123.123.123.123 -p1234
3.终极方案:当重启内网B主机,谁来自动Autossh呢,加入daemon吧
以daemon方式执行,相当于root去执行autossh, ssh,这时刚才普通用户目录下的.ssh/authorized_keys文件会不起效。有两种办法解决,一种是用autossh的参数指定.ssh路径;另外一种是以普通用户身份执行daemon,下面是第二种方式。
/bin/su -c '/usr/bin/autossh -M 5678 -NR 1234:localhost:2223 user1@123.123.123.123 -p2221' - user1
autossh还有很多参数,用来设置重连间隔等等。
将上面命令放入下面各启动方式中,根据自己系统自己配置:
SysV:/etc/inid.d/autossh
Upstart: /etc/init/autossh.conf
systemd: /usr/lib/systemd/system/autossh.service
反向隧道web端口转发
1. SSH反向隧道
通常家用的宽带没有公网IP,运营商现在都分配的是内网IP。这样,公网上的机器就无法直接访问到内网的机器。
SSH具有建立反向隧道的能力,进行内网穿透,前提是我们有一台有公网IP的机器,假设机器情况如下:
机器 网络 IP 端口
A 公网 114.114.114.114 80
B 内网 192.168.10.1 7777
1.修改公网机器A的SSH配置文件/etc/ssh/sshd_config
GatewayPorts yes
1
这样可以把监听的端口绑定到任意IP 0.0.0.0上,否则只有本机127.0.0.1可以访问。
2.在内网B的机器上执行命令,建立反向隧道
ssh -NfR 80:127.0.0.1:7777 root@114.114.114.114
1
然后输入密码,通道即建立成功。
-N:只建立连接,不打开shell
-f:建立成功后在后台运行
-R:指定端口映射
此时,会在A的机器上开一个80端口监听,所有访问公网机器A的80端口的请求都会转发到内网B的7777端口上。
在公网A机器上查看端口:
[root@upshi ~]# lsof -i:80
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
sshd 1578 root 8u IPv4 19403 0t0 TCP *:cbt (LISTEN)
如果不想每次都输入密码,可以配置一下SSH免密登录。
2. AutoSSH 自动重连
使用SSH的方式不够稳定,使用AutoSSH可以自动在连接断开时自动重连,再把AutoSSH加入系统服务自动启动,则可以做到稳定的连接。
1.安装AutoSSH
sudo apt-get install autossh
1
2.执行AutoSSH命令
autossh -M 5555 -NR 80:127.0.0.1:7777 root@114.114.114.114
1
-M:在5555端口上监听连接的变化,只要断开就重连
少了-f 参数,因为AutoSSH本来就在后台运行
---------------------
