ssh建立隧道转发
A设备:没有公网IP地址的本地设备,如本地内网服务器(需要能通公网)
B设备:有公网IP地址的服务器,可以是云服务器
C设备:终端设备,想通过公网服务器B访问到设备A
要实现通过公有云服务器 B 访问内网 A 服务器的场景,可以使用 SSH 隧道转发(SSH Tunneling)技术。这个技术可以通过公有云服务器 B 建立一个跳板,使得你可以通过 SSH 访问到内网 A 服务器。
下面是具体的配置步骤:
1. 在 A 服务器上配置 SSH
A 服务器已经获取到 IP,假设 A 服务器的 IP 是 192.168.1.100,首先确保 A 服务器上已经安装并配置好了 SSH 服务。
2. 在 B 服务器上配置 SSH
B 服务器是具有公网 IP 的云服务器,假设 B 服务器的公网 IP 是 203.0.113.1,同样确保 B 服务器上已经安装并配置好了 SSH 服务。
3. 在 A 服务器上建立反向 SSH 隧道
在 A 服务器上运行以下命令来建立反向 SSH 隧道:
ssh -R 2222:localhost:22 user@203.0.113.1
这条命令的含义是将 A 服务器的 22 端口映射到 B 服务器的 2222 端口。其中 user 是 B 服务器上的用户名。
可以使用 autossh 工具来保持这个隧道的持久连接,确保断开后能够自动重新连接。安装 autossh 并使用它来建立隧道:
sudo apt-get install autossh
autossh -M 0 -f -N -R 2222:localhost:22 user@203.0.113.1
4. 在 B 服务器上配置 SSH 以允许端口转发
确保 B 服务器上的 SSH 配置文件允许网关和端口转发。编辑 /etc/ssh/sshd_config 文件,确保以下配置项没有被注释掉:
GatewayPorts yes
AllowTcpForwarding yes
然后重新启动 SSH 服务:
sudo systemctl restart ssh
5. 在本地 PC 上连接 A 服务器
通过 B 服务器建立到 A 服务器的连接。假设你使用的是 OpenSSH 客户端,可以在本地 PC 运行以下命令:
ssh -p 2222 user_on_A@203.0.113.1
这条命令的含义是通过 B 服务器的 2222 端口连接到 A 服务器的 22 端口,其中 user_on_A 是 A 服务器上的用户名。
总结
通过以上配置,你可以实现从本地 PC 通过 B 服务器 SSH 访问到 A 服务器的场景。
# 在A服务器上执行
ssh -R 2222:localhost:22 user@203.0.113.1
# 或使用autossh保持会话状态
sudo apt-get install autossh
autossh -M 0 -f -N -R 2222:localhost:22 user@203.0.113.1
# 在B服务器上确保ssh配置
sudo vim /etc/ssh/sshd_config
# 确保以下配置项
GatewayPorts yes
AllowTcpForwarding yes
# 重启ssh服务
sudo systemctl restart ssh
# 在本地PC上执行
ssh -p 2222 user_on_A@203.0.113.1
应用:
要在两台服务器(A 服务器和 B 服务器)之间配置 SSH 免密登录,你需要在 A 服务器上生成 SSH 密钥对,并将公钥复制到 B 服务器上。以下是详细步骤:
步骤 1:在 A 服务器上生成 SSH 密钥对
在 A 服务器上,使用以下命令生成 SSH 密钥对:
ssh-keygen -t rsa
在执行上述命令后,会提示你选择保存密钥对的路径。通常情况下,可以直接按 Enter,使用默认路径(~/.ssh/id_rsa)。
之后系统会提示你设置一个密码短语(passphrase)。如果你希望完全免密登录,可以直接按 Enter 跳过此步骤,不设置密码短语。
步骤 2:将 A 服务器的公钥复制到 B 服务器
使用以下命令将 A 服务器生成的公钥复制到 B 服务器:
ssh-copy-id -i ~/.ssh/id_rsa.pub root@B服务器的IP地址
这条命令会将公钥追加到 B 服务器的 ~/.ssh/authorized_keys 文件中。
如果 ssh-copy-id 命令无法使用,你也可以手动复制公钥。首先,在 A 服务器上查看生成的公钥:
cat ~/.ssh/id_rsa.pub
然后,将显示的公钥内容复制到 B 服务器的 ~/.ssh/authorized_keys 文件中。
步骤 3:测试免密登录
在 A 服务器上,尝试通过 SSH 连接到 B 服务器,验证是否可以免密登录:
ssh root@B服务器的IP地址
如果配置正确,你将直接登录到 B 服务器而不需要输入密码。
注意事项
确保 B 服务器上的 ~/.ssh/authorized_keys 文件的权限设置正确,一般设置为 600:
chmod 600 ~/.ssh/authorized_keys
确保 ~/.ssh 目录的权限为 700:
chmod 700 ~/.ssh
配置完成后,A 服务器应该可以免密码直接登录 B 服务器了。
配置脚本监听状态
你可以将脚本改为分别检查这条 SSH 隧道,如果任意一条不存在,就重新启动对应的 SSH 隧道。以下是修改后的脚本:
#!/bin/bash
# 定义要检查的SSH隧道命令列表
declare -A tunnels=(
["IPxxxxx1"]="ssh -v -fNTR 9999:localhost:22 root@IPxxxxx1 -p 22"
["IPxxxxx2"]="ssh -v -fNTR 9999:localhost:22 root@IPxxxxx2 -p 22"
["IPxxxxx3"]="ssh -v -fNTR 9999:localhost:22 root@IPxxxxx3 -p 22"
)
# 遍历每一个隧道并检查是否存在
for ip in "${!tunnels[@]}"; do
if ! ps -ef | grep -v grep | grep -q "${tunnels[$ip]}"; then
echo "SSH tunnel to $ip not found, starting it..."
${tunnels[$ip]}
else
echo "SSH tunnel to $ip is running."
fi
done
这个脚本定义了一个关联数组 tunnels,其中键是 IP 地址,值是对应的 SSH 命令。脚本会遍历每个隧道的命令,使用 ps -ef | grep 检查它是否正在运行。如果没有找到对应的进程,就重新启动该 SSH 隧道。
保存并确保脚本可执行:
chmod +x /path/to/check_ssh_tunnel.sh
配置 Crontab:
编辑 crontab:
crontab -e
添加以下任务,每分钟检查一次:
* * * * * /path/to/check_ssh_tunnel.sh >> /var/log/ssh_tunnel.log 2>&1
这将每分钟运行一次脚本,检查 SSH 隧道是否存在,不存在则启动,并将输出日志记录到 /var/log/ssh_tunnel.log。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
