绑定完请刷新页面
取消
刷新

分享好友

×
取消 复制
5 分钟学懂 SSH 隧道技术
2021-01-29 16:01:15




概述

本文将介绍一些关于 SSH 隧道技术的小技巧,并且给出一个网络拓扑图更好地解释在做的东西。

网络基础

假设我的网络情况是这样的一个简化拓扑:

图 1:简化网络拓扑

那么这里有几种可能的操作,分别是:

  • 从 Home PC 直接 SSH Office PC
    • 从 Office PC SSH 到 Home PC 同理
  • 从 Home PC 直接 SSH 到 VPS
    • 从 Office PC SSH 到 VPS 同理
  • 从 VPS SSH 到 Home(Office) PC

在这几个场景中,简单实现的就是:从 Home PC SSH 到 VPS,这也是我们平时常见的一个操作。只所以我们可以轻松地实现这个原理,是因为 VPS 拥有公网 IP,我们可以直接从 Home PC 中路由到 VPS,反之,因为我们的 Home PC 没有公网 IP,所以 VPS 无法直接 SSH 到我们的 Home PC。

那么这里就会有同学有想法了,那么我们的 Home PC 能不能有公网 IP,答案肯定是可以的,从上图中可以看到,简单来说,PC 和 VPS 的差异就在于 PC 还接了一次路由器,那么如果直接将 PC 介入 ISP 网络中,是不是就可以拥有公网 IP 了。这个问题很复杂,答案是可能是,这依赖于你的 ISP 如果提供网络给你,在以前 ADSL 时代,基本上都是可以提供公网 IP 的,但是,随着光纤的普及,即使你不使用路由器,你也不是直接介入 ISP 的骨干网了,而是 ISP 的一个分线器,例如 FTTB 系列。所以,这里设想让 PC(路由器) 拥有公网 IP 的想法不具有通用性,加上即使有,ISP 可能也会限制一些端口,因此用的也不多。

SSH 隧道

所以,终于进入到本文的主题了,既然没法直接连接到 PC,那么可不可以反过来,让 PC 自己主动来发起请求,这就是 SSH 隧道的原理了:

[root@liqiang.io]ssh -qngfNTR 9999:localhost:8888 root@192.168.29.48

命令行快速使用

[root@liqiang.io]# cat ~/.ssh/config
Host jump
  HostName 10.0.0.102
  Port 22
  User root
  IdentityFile /root/.ssh/id_rsa
  ForwardAgent yes
Host 10.0.0.87
  HostName 10.0.0.87
  ProxyJump jump
  User zhangsan
  • 首先需要确保可以直接登录跳板机:10.0.0.102
  • 10.0.0.87 是通过 10.0.0.102 这个跳板机访问的;

Tips

反向隧道只监听 localhost

[root@liqiang.io]# cat /etc/ssh/sshd_config
GatewayPorts = yes

代理 UDP

反向代理
  • 本地机器:

      [root@liqiang.io]# yum install -y nc
      [root@liqiang.io]# mkfifo /tmp/fifo
      [root@liqiang.io]# nc -l -p 1162 < /tmp/fifo | nc -u localhost 1163 > /tmp/fifo

    这里的意思是说监听机器上的 1162 端口发出来的数据,然后以 UDP 的形式将数据发送给 localhost:1163

  • 远程机器

      [root@liqiang.io]# mkfifo /tmp/fifo
      [root@liqiang.io]# nc -l -u -p 1163 < /tmp/fifo | nc localhost 1162 > /tmp/fifo

    这里的意思是在机器上监听 1163 端口的 UDP 协议,然后将收到的 UDP 流量通过 TCP 链路 localhost:1162 发送出去。

  • 注意要点

    • 必须先在本地执行完命令之后再去远程服务器执行,不然,服务器这边会因为没有数据而导致无法正常运行;
    • 在使用过程中我遇到了一个问题就是这种方式只能接收一次 UDP,第二次就无法接收成功了;
    • 这是反向代理的例子,正向代理反过来即是。

参考文档

  • How to make a SSH tunnel publicly accessible?
  • Performing UDP tunneling through an SSH connection
  • How to use ansible openstack modules with a ssh socks proxy
  • SSH Tunneling Technology Guide

本文转载自:「格物致知」,原文:https://liqiang.io/post/562b8522,版权归原作者所有。



分享好友

分享这个小栈给你的朋友们,一起进步吧。

Linux技术精选专区
创建时间:2020-07-08 10:30:23
Linux,全称GNU/Linux,是一套免费使用和自由传播的类UNIX操作系统,其内核由林纳斯·本纳第克特·托瓦兹于1991年次释出,它主要受到Minix和Unix思想的启发,是一个基于POSIX和Unix的多用户、多任务、支持多线程和多CPU的操作系统。它能运行主要的Unix工具软件、应用程序和网络协议。
展开
订阅须知

• 所有用户可根据关注领域订阅专区或所有专区

• 付费订阅:虚拟交易,一经交易不退款;若特殊情况,可3日内客服咨询

• 专区发布评论属默认订阅所评论专区(除付费小栈外)

技术专家

查看更多
  • dapan
    专家
戳我,来吐槽~