最近遇到一個(gè)問題，就是過幾天我需要離開學(xué)校，而且到時(shí)候仍然想登陸校園網(wǎng)里的一臺服務(wù)器進(jìn)行工作；但是我又沒有校園網(wǎng)網(wǎng)關(guān)的操作權(quán)限，不能做端口映射，也不能搞到校園網(wǎng)內(nèi)部主機(jī)的外網(wǎng)ip，而且學(xué)校自己提供的vpn又根本沒法用。研究了半天，總算找到了一個(gè)比較不錯(cuò)的利用反向ssh(reverse ssh tunnel)進(jìn)行內(nèi)網(wǎng)登陸的解決方案。

工作原理

之所以很多轉(zhuǎn)發(fā)的方法無法應(yīng)用在這里，就是因?yàn)閮?nèi)網(wǎng)主機(jī)對外網(wǎng)其實(shí)是不可見的，也就是說外部主機(jī)不能用一般的方法訪問到內(nèi)部主機(jī)。那么我們就想了，能不能用內(nèi)網(wǎng)主機(jī)找外網(wǎng)主機(jī)，找到之后再把這條內(nèi)網(wǎng)主機(jī)登陸外網(wǎng)的信道轉(zhuǎn)換成外網(wǎng)主機(jī)登陸內(nèi)網(wǎng)的信道呢？辛運(yùn)的是，這個(gè)方法的確是可行的，這也就是所謂反向ssh最通俗的理解，這就像寄信一樣，”雖然我不知道你的地址，但是你知道我的地址，那么你就先給我寫封信，告訴我你的地址，然后我不就可以回信給你了么？“。

操作步驟

由于我們自己使用的電腦未必有外網(wǎng)ip，因此我們需要一個(gè)有固定外網(wǎng)ip的服務(wù)器(隨便搞個(gè)騰訊云阿里云的小機(jī)子就行)，然后用這臺服務(wù)器與內(nèi)網(wǎng)的機(jī)子進(jìn)行通信，我們到時(shí)候要先登陸自己的服務(wù)器，然后再利用這個(gè)服務(wù)器去訪問內(nèi)網(wǎng)的主機(jī)。

1、準(zhǔn)備好有固定ip的服務(wù)器A，以及待訪問的內(nèi)網(wǎng)機(jī)器B。兩者都開著sshd服務(wù)，端口號默認(rèn)都是22。順便做好ssh免密碼登陸。

2、內(nèi)網(wǎng)主機(jī)B主動(dòng)連接服務(wù)器A，執(zhí)行以下命令：

$ ssh -NfR 1111:localhost:22 username@servername -p 22

這條命令的意思是在后臺執(zhí)行(-f)，不實(shí)際連接而是做port forwarding(-N)，做反向ssh(-R)，將遠(yuǎn)程服務(wù)器的1111端口映射成連接本機(jī)(B)與該服務(wù)器的反向ssh的端口。

附：這里有必要加強(qiáng)一下記憶，這個(gè)端口號一不小心就容易搞混。。man文檔中的參數(shù)命令是這樣的：

-R [bind_address:]port:host:hostport

bind_address以及其后面的port是指遠(yuǎn)程主機(jī)的ip以及端口，host以及其后的hostport是指本機(jī)的ip和端口。由于ssh命令本身需要遠(yuǎn)程主機(jī)的ip(上上條命令中的servername)，因此這個(gè)bind_address原則上是可以省略的。

執(zhí)行完這條命令，我們可以在服務(wù)器A上看到他的1111端口已經(jīng)開始監(jiān)聽：

$ ss -ant |grep 1111
LISTEN  0  128    127.0.0.1:1111      *:*

3、在上面的操作中，這個(gè)1111端口就已經(jīng)映射成了內(nèi)網(wǎng)主機(jī)B的22端口了，現(xiàn)在我們只要ssh到自己的這個(gè)端口就行了。在服務(wù)器A中執(zhí)行：

$ ssh username@localhost -p1111

這樣就成功的登陸了內(nèi)網(wǎng)的主機(jī)了。

功能優(yōu)化

上面的做法其實(shí)有一個(gè)問題，就是反向ssh可能會不穩(wěn)定，主機(jī)B對服務(wù)器A的端口映射可能會斷掉，那么這時(shí)候就需要主機(jī)B重新鏈接，而顯然遠(yuǎn)在外地的我無法登陸B(tài)。。。這其實(shí)有一個(gè)非常簡單的解決方案，就是用autossh替代步驟2中的ssh：

$ autossh -M 2222 -NfR 1111:localhost:22 username@servername -p 22

后面的參數(shù)跟ssh都一樣，只是多了一個(gè)-M參數(shù)，這個(gè)參數(shù)的意思就是用本機(jī)的2222端口來監(jiān)聽ssh，每當(dāng)他斷了就重新把他連起來。。。不過man文檔中也說了，這個(gè)端口又叫echo port，他其實(shí)是有一對端口的形式出現(xiàn)，第二個(gè)端口就是這個(gè)端口號加一。因此我們要保證這個(gè)端口號和這個(gè)端口號加一的端口號不被占用。

總結(jié)

以上就是這篇文章的全部內(nèi)容了，希望本文的內(nèi)容對大家的學(xué)習(xí)或者工作能帶來一定的幫助，如果有疑問大家可以留言交流，謝謝大家對本站的支持。

美國服務(wù)器租用

版權(quán)聲明：本站文章來源標(biāo)注為YINGSOO的內(nèi)容版權(quán)均為本站所有，歡迎引用、轉(zhuǎn)載，請保持原文完整并注明來源及原文鏈接。禁止復(fù)制或仿造本網(wǎng)站，禁止在非www.sddonglingsh.com所屬的服務(wù)器上建立鏡像，否則將依法追究法律責(zé)任。本站部分內(nèi)容來源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來，僅供學(xué)習(xí)參考，不代表本站立場，如有內(nèi)容涉嫌侵權(quán)，請聯(lián)系alex-e#qq.com處理。