云服务器通过内网穿透的方式ssh访问内网服务器
背景
买了一台云服务器,了解到可以通过外部服务器连接到公司内部服务器。
为了加快办公的效率,配置了一下。
以Ubuntu为例。
原文(有删改):https://www.cnblogs.com/kwongtai/p/6903420.html
描述一下目前的机器状况
机器 | OS | IP | ssh端口号 | 用户名 | 备注 |
---|---|---|---|---|---|
A | Ubuntu 18.04 | 192.168.168.1 | 22(默认是22) | inuser | 目标服务器,处于内网 |
B | Ubuntu 16.04 | 123.45.67.890 | 22(默认是22) | outuser | 外网服务器,相当于桥梁的作用 |
处于内网 A 机器能够访问到 处于外网的B机器。我们现在要实现:处于内网 A 机器能够被 处于外网的B机器访问到
做法
通俗地说:就是在机器A上做到B机器的反向代理;然后在B机器上做正向的代理实现本地端口的转发
安装ssh、autossh
每台都要安装ssh的客户端。
sudo apt-get install -y openssh-server autossh
使用到的ssh参数
反向代理
ssh -fCNR
正向代理
ssh -fCNL
-f 后台执行ssh指令
-C 允许压缩数据
-N 不执行远程指令
-R 将远程主机(服务器)的某个端口转发到本地端指定机器的指定端口
-L 将本地机(客户机)的某个端口转发到远端指定机器的指定端口
-p 指定远程主机的端口
在内网设备中建立反向代理
首先在A(内)上面操作:
建立A机器到B机器的反向代理,具体指令为:
ssh -fCNR [B机器IP或省略]:[B机器端口]:[A机器的IP]:[A机器端口] [登录B机器的用户名@服务器IP]
在这里我使用了云服务器的6666端口,以及内网机器的22端口,按照上面的指令就是这样子的操作:
## 内网的ssh端口
INSIDE_PORT=22
## 外网的ssh端口
OUTSIDE_PORT=22
## 公共转发端口
COMMON_MATCH=6666
## 公共监听端口
COMMON_LISTEN=6667
## 外网账号
OUTSIDE_USER=outuser
## 外网IP
OUTSIDE_ADDR=123.45.67.890
## 代表内网的端口(转发端口)
INSIDE_REPORT=1234
## 内网账号
INSIDE_USER=inuser
ssh -p ${OUTSIDE_PORT} -fCNR ${COMMON_MATCH}:localhost:${INSIDE_PORT} ${OUTSIDE_USER}@${OUTSIDE_ADDR}
检验是否已经启动了可以使用ps aux | grep ssh
指令来查看:
$ ps -aux | grep ssh
xx 41476 0.0 0.0 50216 4300 ? Ss 14:05 0:00 ssh -p 22 -fCNR 6666:localhost:22 outuser@123.45.67.890
在外网设备中建立正向代理
建立B机器的正向代理,用来做转发,具体指令为
ssh -fCNL [A机器IP或省略]:[A机器端口]:[B机器的IP]:[B机器端口] [登录B机器的用户名@B机器的IP]
按照第3那里输入的指令,这里的B机器的端口和上面的B机器的端口是一致的,端口1234的也是B机器的。
## 内网的ssh端口
INSIDE_PORT=22
## 外网的ssh端口
OUTSIDE_PORT=22
## 公共转发端口
COMMON_MATCH=6666
## 公共监听端口
COMMON_LISTEN=6667
## 外网账号
OUTSIDE_USER=outuser
## 外网IP
OUTSIDE_ADDR=123.45.67.890
## 代表内网的端口(转发端口)
INSIDE_REPORT=1234
## 内网账号
INSIDE_USER=inuser
ssh -p ${OUTSIDE_PORT} -fCNL "*:${INSIDE_REPORT}:localhost:${COMMON_MATCH}" localhost
检验是否已经启动了可以使用ps aux | grep ssh
指令来查看:
$ ps -aux | grep ssh
xxx 7828 0.0 0.1 47772 2576 ? Ss 14:08 0:00 ssh -p 22 -fCNL *:1234:localhost:6666 localhost
在此1234端口为本地转发端口,负责和外网进行通信,并将数据转发的7280这个端口,实现了可以从其他机器访问的功能。
同时,*号表示可以接受任何IP的访问。
正常登录
至此我们都配置好了AB机器,那么我们就可以从一部外网的电脑登录到内网里面去啦。
鉴于我目前的电脑在内网,而服务器都是外网的(也就是配置的B机器),所以可以通过B机器连接到我内网的A中,具体指令为:
## 内网的ssh端口
INSIDE_PORT=22
## 外网的ssh端口
OUTSIDE_PORT=22
## 公共转发端口
COMMON_MATCH=6666
## 公共监听端口
COMMON_LISTEN=6667
## 外网账号
OUTSIDE_USER=outuser
## 外网IP
OUTSIDE_ADDR=123.45.67.890
## 代表内网的端口(转发端口)
INSIDE_REPORT=1234
## 内网账号
INSIDE_USER=inuser
ssh -p ${INSIDE_REPORT} ${INSIDE_USER}@${OUTSIDE_ADDR}
我们在上面指定了1234端口为转发端口,故用1234端口登录,然后inuser是内网A机器的用户名,例如:
ssh -p 1234 inuser@123.45.67.890
增强稳定性
不幸的是,单单通过ssh实现的反向链接会因为超时而关闭,如果关闭了那从外网连通内网的通道就无法维持了,为此我们需要另外的方法来提供稳定的ssh反向代理隧道。
设置彼此免密码登录
内网免登陆到外网
ssh-geygen
$ ssh-keygen # 外加三个回车使用默认设置
Generating public/private rsa key pair.
Enter file in which to save the key (~/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in ~/.ssh/id_rsa.
Your public key has been saved in ~/.ssh/id_rsa.pub.
The key fingerprint is:
SHA256:yozmNhbF3+pQ1OYn9TFzl8pCEKBOSEbIMo9oudlH6Fw schips@canton
The key\'s randomart image is:
+---[RSA 2048]----+
|. o+ ..o. |
|ooo . . .. .|
|o+...+ . o.. +.o|
|oo..oEo. o.....=.|
|. * oo .S.o..o. |
| o +.= o. .o. |
| +.= . |
| o+ .. |
| o.. .. |
+----[SHA256]-----+
将公钥复制到外网机器
在内网的机器A上面执行:
## 内网的ssh端口
INSIDE_PORT=22
## 外网的ssh端口
OUTSIDE_PORT=22
## 公共转发端口
COMMON_MATCH=6666
## 公共监听端口
COMMON_LISTEN=6667
## 外网账号
OUTSIDE_USER=outuser
## 外网IP
OUTSIDE_ADDR=123.45.67.890
## 代表内网的端口(转发端口)
INSIDE_REPORT=1234
## 内网账号
INSIDE_USER=inuser
ssh-copy-id -p ${OUTSIDE_PORT} ${OUTSIDE_USER}@${OUTSIDE_ADDR}
按照之前我设定的端口,这个指令就是如下
ssh-copy-id outuser@123.45.67.890
例如:
$ ssh-copy-id -p 22 outuser@123.45.67.890
/usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "/home/inuser/.ssh/id_rsa.pub"
/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys
outuser@123.45.67.890\'s password:
Number of key(s) added: 1
Now try logging into the machine, with: "ssh -p \'22\' \'outuser@123.45.67.890\'"
and check to make sure that only the key(s) you wanted were added.
外网免登陆到内网
ssh-geygen
$ ssh-keygen # 外加三个回车使用默认设置
Generating public/private rsa key pair.
Enter file in which to save the key (~/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in ~/.ssh/id_rsa.
Your public key has been saved in ~/.ssh/id_rsa.pub.
The key fingerprint is:
SHA256:yozmNhbF3+pQ1OYn9TFzl8pCEKBOSEbIMo9oudlH6Fw schips@canton
The key\'s randomart image is:
+---[RSA 2048]----+
|. o+ ..o. |
|ooo . . .. .|
|o+...+ . o.. +.o|
|oo..oEo. o.....=.|
|. * oo .S.o..o. |
| o +.= o. .o. |
| +.= . |
| o+ .. |
| o.. .. |
+----[SHA256]-----+
将公钥复制到内网机器
根据正常登录的命令,参考ssh-copy-id
即可
上文中使用到的是:
ssh -p 1234 inuser@123.45.67.890
那么,结合内网穿透的实现
## 内网的ssh端口
INSIDE_PORT=22
## 外网的ssh端口
OUTSIDE_PORT=22
## 公共转发端口
COMMON_MATCH=6666
## 公共监听端口
COMMON_LISTEN=6667
## 外网账号
OUTSIDE_USER=outuser
## 外网IP
OUTSIDE_ADDR=123.45.67.890
## 代表内网的端口(转发端口)
INSIDE_REPORT=1234
## 内网账号
INSIDE_USER=inuser
# ssh -p ${INSIDE_REPORT} ${INSIDE_USER}@${OUTSIDE_ADDR}
ssh-copy-id -i .ssh/id_rsa.pub -p ${INSIDE_REPORT} ${INSIDE_USER}@${OUTSIDE_ADDR}
实际上就是:
ssh-copy-id -i .ssh/id_rsa.pub -p 1234 inuser@123.45.67.890
用autossh为内网建立稳定隧道到外网
来看看具体的autossh的指令为
## 内网的ssh端口
INSIDE_PORT=22
## 外网的ssh端口
OUTSIDE_PORT=22
## 公共转发端口
COMMON_MATCH=6666
## 公共监听端口
COMMON_LISTEN=6667
## 外网账号
OUTSIDE_USER=outuser
## 外网IP
OUTSIDE_ADDR=123.45.67.890
## 代表内网的端口(转发端口)
INSIDE_REPORT=1234
## 内网账号
INSIDE_USER=inuser
autossh -M ${COMMON_LISTEN} -p ${OUTSIDE_PORT} -fCNR ${COMMON_MATCH}:localhost:${INSIDE_PORT} ${OUTSIDE_USER}@${OUTSIDE_ADDR}
autossh
的参数与ssh的参数是一致的,但是不同的是,在隧道断开的时候,autossh会自动重新连接而ssh不会。
另外不同的是我们需要指出的-M参数,这个参数指定一个端口,这个端口是外网的B机器用来接收内网A机器的信息,如果隧道不正常而返回给A机器让他实现重新连接。
autossh -M 6667 -fCNR 6666:localhost:22 outuser@123.45.67.890
# 相当于
ssh -fCNR 6666:localhost:22 outuser@123.45.67.890
注,如果想杀死autossh
,那么使用kill -9
命令。
配置autossh开机自启动
略,参考:ubuntu 18.04 设置开机自启
只要把下列的内容添加到一个能够开机启动的脚本即可,注意添加执行权限chmod +x
:
#!/bin/sh
## 内网的ssh端口
INSIDE_PORT=22
## 外网的ssh端口
OUTSIDE_PORT=22
## 公共转发端口
COMMON_MATCH=6666
## 公共监听端口
COMMON_LISTEN=6667
## 外网账号
OUTSIDE_USER=outuser
## 外网IP
OUTSIDE_ADDR=123.45.67.890
## 代表内网的端口(转发端口)
INSIDE_REPORT=1234
## 内网账号
INSIDE_USER=inuser
killall -9 autossh >/dev/null 2>&1
autossh -M ${COMMON_LISTEN} -p ${OUTSIDE_PORT} -fCNR ${COMMON_MATCH}:localhost:${INSIDE_PORT} ${OUTSIDE_USER}@${OUTSIDE_ADDR}