云服务器通过内网穿透的方式ssh访问内网服务器

背景

买了一台云服务器,了解到可以通过外部服务器连接到公司内部服务器。

为了加快办公的效率,配置了一下。

以Ubuntu为例。

原文(有删改):https://www.cnblogs.com/kwongtai/p/6903420.html

描述一下目前的机器状况

机器 OS IP ssh端口号 用户名 备注
A Ubuntu 18.04 192.168.168.1 22(默认是22) inuser 目标服务器,处于内网
B Ubuntu 16.04 123.45.67.890 22(默认是22) outuser 外网服务器,相当于桥梁的作用

处于内网 A 机器能够访问到 处于外网的B机器。我们现在要实现:处于内网 A 机器能够被 处于外网的B机器访问到

做法

通俗地说:就是在机器A上做到B机器的反向代理;然后在B机器上做正向的代理实现本地端口的转发

安装ssh、autossh

每台都要安装ssh的客户端。

sudo apt-get install -y openssh-server autossh

使用到的ssh参数

反向代理

ssh -fCNR

正向代理

ssh -fCNL

-f 后台执行ssh指令

-C 允许压缩数据

-N 不执行远程指令

-R 将远程主机(服务器)的某个端口转发到本地端指定机器的指定端口

-L 将本地机(客户机)的某个端口转发到远端指定机器的指定端口

-p 指定远程主机的端口

在内网设备中建立反向代理

首先在A(内)上面操作:

建立A机器到B机器的反向代理,具体指令为:

ssh -fCNR [B机器IP或省略]:[B机器端口]:[A机器的IP]:[A机器端口] [登录B机器的用户名@服务器IP]

在这里我使用了云服务器的6666端口,以及内网机器的22端口,按照上面的指令就是这样子的操作:

## 内网的ssh端口

INSIDE_PORT=22

## 外网的ssh端口

OUTSIDE_PORT=22

## 公共转发端口

COMMON_MATCH=6666

## 公共监听端口

COMMON_LISTEN=6667

## 外网账号

OUTSIDE_USER=outuser

## 外网IP

OUTSIDE_ADDR=123.45.67.890

## 代表内网的端口(转发端口)

INSIDE_REPORT=1234

## 内网账号

INSIDE_USER=inuser

ssh -p ${OUTSIDE_PORT} -fCNR ${COMMON_MATCH}:localhost:${INSIDE_PORT} ${OUTSIDE_USER}@${OUTSIDE_ADDR}

检验是否已经启动了可以使用ps aux | grep ssh指令来查看:

$ ps -aux | grep ssh

xx       41476  0.0  0.0  50216  4300 ?        Ss   14:05   0:00 ssh -p 22 -fCNR 6666:localhost:22 outuser@123.45.67.890

在外网设备中建立正向代理

建立B机器的正向代理,用来做转发,具体指令为

ssh -fCNL [A机器IP或省略]:[A机器端口]:[B机器的IP]:[B机器端口] [登录B机器的用户名@B机器的IP]

按照第3那里输入的指令,这里的B机器的端口和上面的B机器的端口是一致的,端口1234的也是B机器的。

## 内网的ssh端口

INSIDE_PORT=22

## 外网的ssh端口

OUTSIDE_PORT=22

## 公共转发端口

COMMON_MATCH=6666

## 公共监听端口

COMMON_LISTEN=6667

## 外网账号

OUTSIDE_USER=outuser

## 外网IP

OUTSIDE_ADDR=123.45.67.890

## 代表内网的端口(转发端口)

INSIDE_REPORT=1234

## 内网账号

INSIDE_USER=inuser

ssh -p ${OUTSIDE_PORT} -fCNL "*:${INSIDE_REPORT}:localhost:${COMMON_MATCH}" localhost

检验是否已经启动了可以使用ps aux | grep ssh指令来查看:

$ ps -aux | grep ssh

xxx    7828  0.0  0.1  47772  2576 ?        Ss   14:08   0:00 ssh -p 22 -fCNL *:1234:localhost:6666 localhost

在此1234端口为本地转发端口,负责和外网进行通信,并将数据转发的7280这个端口,实现了可以从其他机器访问的功能。

同时,*号表示可以接受任何IP的访问。

正常登录

至此我们都配置好了AB机器,那么我们就可以从一部外网的电脑登录到内网里面去啦。

鉴于我目前的电脑在内网,而服务器都是外网的(也就是配置的B机器),所以可以通过B机器连接到我内网的A中,具体指令为:

## 内网的ssh端口

INSIDE_PORT=22

## 外网的ssh端口

OUTSIDE_PORT=22

## 公共转发端口

COMMON_MATCH=6666

## 公共监听端口

COMMON_LISTEN=6667

## 外网账号

OUTSIDE_USER=outuser

## 外网IP

OUTSIDE_ADDR=123.45.67.890

## 代表内网的端口(转发端口)

INSIDE_REPORT=1234

## 内网账号

INSIDE_USER=inuser

ssh -p ${INSIDE_REPORT} ${INSIDE_USER}@${OUTSIDE_ADDR}

我们在上面指定了1234端口为转发端口,故用1234端口登录,然后inuser是内网A机器的用户名,例如:

ssh -p 1234 inuser@123.45.67.890

增强稳定性

不幸的是,单单通过ssh实现的反向链接会因为超时而关闭,如果关闭了那从外网连通内网的通道就无法维持了,为此我们需要另外的方法来提供稳定的ssh反向代理隧道。

设置彼此免密码登录

内网免登陆到外网
ssh-geygen
$ ssh-keygen # 外加三个回车使用默认设置

Generating public/private rsa key pair.

Enter file in which to save the key (~/.ssh/id_rsa):

Enter passphrase (empty for no passphrase):

Enter same passphrase again:

Your identification has been saved in ~/.ssh/id_rsa.

Your public key has been saved in ~/.ssh/id_rsa.pub.

The key fingerprint is:

SHA256:yozmNhbF3+pQ1OYn9TFzl8pCEKBOSEbIMo9oudlH6Fw schips@canton

The key's randomart image is:

+---[RSA 2048]----+

|. o+   ..o.      |

|ooo . .  ..     .|

|o+...+  . o.. +.o|

|oo..oEo. o.....=.|

|. * oo .S.o..o.  |

| o +.= o. .o.    |

|    +.=  .       |

|   o+  ..        |

|   o.. ..        |

+----[SHA256]-----+
将公钥复制到外网机器

在内网的机器A上面执行:

## 内网的ssh端口

INSIDE_PORT=22

## 外网的ssh端口

OUTSIDE_PORT=22

## 公共转发端口

COMMON_MATCH=6666

## 公共监听端口

COMMON_LISTEN=6667

## 外网账号

OUTSIDE_USER=outuser

## 外网IP

OUTSIDE_ADDR=123.45.67.890

## 代表内网的端口(转发端口)

INSIDE_REPORT=1234

## 内网账号

INSIDE_USER=inuser

ssh-copy-id -p ${OUTSIDE_PORT} ${OUTSIDE_USER}@${OUTSIDE_ADDR}

按照之前我设定的端口,这个指令就是如下

ssh-copy-id outuser@123.45.67.890

例如:

$  ssh-copy-id -p 22 outuser@123.45.67.890

/usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "/home/inuser/.ssh/id_rsa.pub"

/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed

/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys

outuser@123.45.67.890's password:

Number of key(s) added: 1

Now try logging into the machine, with:   "ssh -p '22' 'outuser@123.45.67.890'"

and check to make sure that only the key(s) you wanted were added.
外网免登陆到内网
ssh-geygen
$ ssh-keygen # 外加三个回车使用默认设置

Generating public/private rsa key pair.

Enter file in which to save the key (~/.ssh/id_rsa):

Enter passphrase (empty for no passphrase):

Enter same passphrase again:

Your identification has been saved in ~/.ssh/id_rsa.

Your public key has been saved in ~/.ssh/id_rsa.pub.

The key fingerprint is:

SHA256:yozmNhbF3+pQ1OYn9TFzl8pCEKBOSEbIMo9oudlH6Fw schips@canton

The key's randomart image is:

+---[RSA 2048]----+

|. o+   ..o.      |

|ooo . .  ..     .|

|o+...+  . o.. +.o|

|oo..oEo. o.....=.|

|. * oo .S.o..o.  |

| o +.= o. .o.    |

|    +.=  .       |

|   o+  ..        |

|   o.. ..        |

+----[SHA256]-----+
将公钥复制到内网机器

根据正常登录的命令,参考ssh-copy-id即可

上文中使用到的是:ssh -p 1234 inuser@123.45.67.890

那么,结合内网穿透的实现

## 内网的ssh端口

INSIDE_PORT=22

## 外网的ssh端口

OUTSIDE_PORT=22

## 公共转发端口

COMMON_MATCH=6666

## 公共监听端口

COMMON_LISTEN=6667

## 外网账号

OUTSIDE_USER=outuser

## 外网IP

OUTSIDE_ADDR=123.45.67.890

## 代表内网的端口(转发端口)

INSIDE_REPORT=1234

## 内网账号

INSIDE_USER=inuser

#                          ssh -p ${INSIDE_REPORT} ${INSIDE_USER}@${OUTSIDE_ADDR}

ssh-copy-id -i .ssh/id_rsa.pub -p ${INSIDE_REPORT} ${INSIDE_USER}@${OUTSIDE_ADDR}

实际上就是:

ssh-copy-id -i .ssh/id_rsa.pub -p 1234 inuser@123.45.67.890

用autossh为内网建立稳定隧道到外网

来看看具体的autossh的指令为

## 内网的ssh端口

INSIDE_PORT=22

## 外网的ssh端口

OUTSIDE_PORT=22

## 公共转发端口

COMMON_MATCH=6666

## 公共监听端口

COMMON_LISTEN=6667

## 外网账号

OUTSIDE_USER=outuser

## 外网IP

OUTSIDE_ADDR=123.45.67.890

## 代表内网的端口(转发端口)

INSIDE_REPORT=1234

## 内网账号

INSIDE_USER=inuser

autossh -M ${COMMON_LISTEN} -p ${OUTSIDE_PORT} -fCNR ${COMMON_MATCH}:localhost:${INSIDE_PORT} ${OUTSIDE_USER}@${OUTSIDE_ADDR}

autossh的参数与ssh的参数是一致的,但是不同的是,在隧道断开的时候,autossh会自动重新连接而ssh不会。

另外不同的是我们需要指出的-M参数,这个参数指定一个端口,这个端口是外网的B机器用来接收内网A机器的信息,如果隧道不正常而返回给A机器让他实现重新连接。

autossh -M 6667 -fCNR 6666:localhost:22 outuser@123.45.67.890

# 相当于

ssh -fCNR 6666:localhost:22 outuser@123.45.67.890

注,如果想杀死autossh,那么使用kill -9 命令。

配置autossh开机自启动

略,参考:ubuntu 18.04 设置开机自启

只要把下列的内容添加到一个能够开机启动的脚本即可,注意添加执行权限chmod +x :

#!/bin/sh

## 内网的ssh端口

INSIDE_PORT=22

## 外网的ssh端口

OUTSIDE_PORT=22

## 公共转发端口

COMMON_MATCH=6666

## 公共监听端口

COMMON_LISTEN=6667

## 外网账号

OUTSIDE_USER=outuser

## 外网IP

OUTSIDE_ADDR=123.45.67.890

## 代表内网的端口(转发端口)

INSIDE_REPORT=1234

## 内网账号

INSIDE_USER=inuser

killall -9 autossh >/dev/null 2>&1

autossh -M ${COMMON_LISTEN} -p ${OUTSIDE_PORT} -fCNR ${COMMON_MATCH}:localhost:${INSIDE_PORT} ${OUTSIDE_USER}@${OUTSIDE_ADDR}

云服务器通过内网穿透的方式ssh访问内网服务器的更多相关文章

  1. 使用frp进行内网穿透,实现ssh远程访问Linux服务器

    搭建一个完整的frp服务链需要: VPS一台(也可以是具有公网IP的实体机) 访问目标设备(就是你最终要访问的设备) 简单的Linux基础(如果基于Linux配置的话) 我这里使用了腾讯云服务器作为服 ...

  2. 使用Holer外网SSH访问内网(局域网)Linux系统

    1. Holer工具简介 Holer exposes local servers behind NATs and firewalls to the public internet over secur ...

  3. nat123外网SSH访问内网LINUX的N种方法

    一,动态公网IP环境 1,环境描述: 路由器分配的是动态公网IP,且有路由管理权限,LINUX主机部署在路由内网.如何实现外网SSH访问内网LINUX主机? 2,解决方案: 使用nat123动态域名解 ...

  4. 外网SSH访问内网LINUX的N种方法

    外网SSH访问内网LINUX的N种方法 http://www.nat123.com/Pages_8_260.jsp 一,动态公网IP环境 1,环境描述: 路由器分配的是动态公网IP,且有路由管理权限, ...

  5. 基于frp的内网穿透实例1-通过SSH访问内网机器

    原文地址:https://wuter.cn/1804.html/ 老母鸡终于到了,作为一个能运行linux系统的四核1G硬件,它还是比较小巧的. FRP 全名:Fast Reverse Proxy.F ...

  6. 用SSH访问内网主机的方法

    如今的互联网公司通常不会直接自己直接配主机搭建服务器了,而是采用了类似阿里云的这种云主机,当应用变得越来越大了之后,就不可避免地增加主机,而出于成本考虑,不可能给每一台主机都分配公网带宽,所以实际的情 ...

  7. 搭建通过 ssh 访问的 Git 服务器

    一.Git 协议 Git 可以使用四种主要的协议来传输数据:本地传输,ssh 协议,Git 协议和 HTTP 协议. Git 使用的传输协议中最常见的就是 ssh 了.大多数环境已经支持通过 ssh ...

  8. 【linux】虚拟机内装Linux系统的ssh访问

    一般在虚拟机内安装一个Linux系统,虚拟机网络设置为桥接后,Linux系统会在安装的过程中自动设置其为dhcp配置,会给其随机分配一个ip,这个ip可以用命令 "ifconfig" ...

  9. 本地Linux虚拟机内网穿透,服务器文件下载到本地磁盘

    本地Linux虚拟内网穿透 把服务器文件下载到本地磁盘 https://natapp.cn/ 1.注册账户点击免费隧道  

  10. 搭建手机web服务器-----内网穿透(无需Root)

    搭建手机web服务器-----内网穿透(无需Root) 一.内网穿透部分 前言: 网上内网穿透的方法很多,像花生壳.Ngrok.Frp等等,但是大多都需要获取手机root权限 本文使用的软件是Term ...

随机推荐

  1. 基于FPGA的二进制转BCD

    BCD码(nary-Coded Decimal‎)又称二-十进制代码,亦称二进码十进数.是一种二进制的数字编码形式,用二进制编码的十进制代码.这种编码形式利用了四个位元来储存一个十进制的数码. 在数字 ...

  2. Jetpack Compose(6)——动画

    目录 一.低级别动画 API 1.1 animate*AsState 1.2 Animatable 1.3 Transition 动画 1.3.1 updateTransition 1.3.2 cre ...

  3. 51k+ Star!动画图解、一键运行的数据结构与算法教程!

    大家好,我是 Java陈序员. 我们都知道,<数据结构与算法> -- 是程序员的必修课. 无论是使用什么编程语音,亦或者是前后端开发,都需要修好<数据结构与算法>这门课! 在各 ...

  4. 超轻量级的c#版基于文件的日志记录工具,可定制输出格式,可指定日志文件

    这是我自己个人编写的日志记录,主要使用在只需要记录日志,偶尔到文件中查看一下日志记录的情况.我自己写的一些服务之类的是使用了这个的,代码很少,使用很简单. 第一步 搜索和安装我的Nuget包 搜索和安 ...

  5. C 语言编程 — 基本语法

    目录 文章目录 目录 前文列表 C 语言 C 语言的版本 C 语言的特点 C 语言的优点 C 语言的缺点 搭建编程环境 基本语法 前文列表 <程序编译流程与 GCC 编译器> C 语言 C ...

  6. Fastapi获取其他第三方回调

    flask.django获取第三方回调数据,可以用request.data直接获取全部参数.而很多同学不知道fastapi如何获取回调的全部参数,其实可以通过request.body(). 如: @p ...

  7. Android Media Framework - 开篇

    前言 Android Media是一块非常庞大的内容,上到APP的书写,中到播放器的实现.封装格式的了解,下到编解码组件的封装.VPU API的了解,每块内容的学习都需要我们下很大的功夫.此外,我们还 ...

  8. TS码流解析(二)PSI PAT PMT

    TS码流有PSI和PES两种负载,这一节主要来了解PSI是如何解析的. 1.PSI PSI(Program Specific Information)节目专用信息,用来描述TS码流的节目组成等信息.P ...

  9. WPF ListBox 控件绑定 Binding

    当我们需要用到循环的列表内容,并且模板化程度高的时候,建议使用 ListBox 来做绑定.XAML: <Window.DataContext> <local:VMTempTest/& ...

  10. C# JObject.Add方法代码示例

    本文整理汇总了C#中Newtonsoft.Json.Linq.JObject.Add方法的典型用法代码示例.如果您正苦于以下问题:C# JObject.Add方法的具体用法?C# JObject.Ad ...