调试利器:SSH隧道

本文作者:ivweb 吴浩麟 原文出处:IVWEB社区 未经同意,禁止转载

在开发微信公众号或小程序的时候,由于微信平台规则的限制,部分接口需要通过线上域名才能正常访问。但我们一般都会在本地开发,因为这能快速的看到源码修改后的运行结果。但当涉及到需要调用微信接口时,由于不和你在同一个局域网中的用户是无法访问你的本地开发机的,就必须把修改后的代码重新发布到线上域名所在的服务器才能去验证结果。每次修改都重新发布很繁琐也很浪费时间。

本文将教你如何通过 SSH 隧道把本地服务映射到外网,以方便调试,通常把这种方法叫内网穿透。

阅读完本文后,你能解决以下常见问题:

开发微信公众号等应用时把本地服务映射到外网,加速调试流程;

把你正在开发的本地服务分享给互联网上其它人访问体验;

在任何地方通过互联网控制你家中在局域网里的电脑;

最终目的

把运行在本地开发机上的 HTTP 服务映射到外网,让全世界都能通过外网 IP 服务到你本地开发机上的 HTTP 服务。例如你本地的 HTTP 服务监听在 127.0.0.1:8080,你有一台公网 IP 为 12.34.56.78 的服务器,通过本文介绍的方法,可以让全世界的用户通过 http://12.34.56.78:8080 访问到你本地开发机上的 HTTP 服务。

总结成一句话就是:把内网端口映射到外网。

前提条件

为了把内网服务映射到外网,以下资源为必须的:

  • 一台有外网 IP 的服务器;
  • 能在本地开发机上通过 ssh 登入到外网服务器。

要满足以上条件很简单:

  • 对于条件1:购买一台低配 Linux 服务器,推荐国外的 DigitalOcean;
  • 对于条件2:对于 Mac、Linux 开发机是内置了 ssh 客户端的,对于 Windows 可以安装 Cygwin。

实现原理

要实现把内网端口映射到外网,最简单的方式就是通过 SSH 隧道。

SSH 隧道就像一根管道,能把任何2台机器连接在一起,把发送到其中一台机器的数据通过管道传输到另一台机器。假如已经通过 SSH 隧道把本地开发机和外网服务器连接在了一起,外网服务器端监听在 12.34.56.78:8080,那么所有发给 12.34.56.78:8080 的数据都会通过 SSH 隧道原封不动地传输给本地开发机的 127.0.0.1:8080,如图所示:

也就是说,去访问 12.34.56.78:8080 就像是访问本地开发机的 127.0.0.1:8080,本地开发机上的 8080 端口被映射到了外网服务器上的 8080 端口。

如果你的外网服务器 IP 配置了域名解析,例如 yourdomin.com 会通过 DNS 解析为 12.34.56.78,那么也可以通过 yourdomin.com:8080 去访问本地开发机上的服务。 这样就做到了访问外网地址时其实是本地服务返回的结果。

通过 SSH 隧道传输数据时,数据会被加密,就算中间被劫持,黑客也无法得到数据的原内容。 所以 SSH 隧道还有一个功能就是保证数据传输的安全性。

实现步骤

把本地开机和外网服务器通过 SSH 隧道连接起来就和在本地开发机 SSH 登入远程登入到外网服务器一样简单。

先来回顾以下 SSH 远程登入命令,假如想在本地远程登入到 12.34.56.78,可以在本地开发机上执行以下命令:

ssh username@12.34.56.78

而实现 SSH 隧道只需在本地开发机上执行:

ssh -R 8080:127.0.0.1:8080 username@12.34.56.78

可以看出实现 SSH 隧道的命令相对于 SSH 登入多出来 -R 8080:127.0.0.1:8080,多出的这部分的含义是: 在远程机器(12.34.56.78)上启动 TCP 8080端口监听着,再把远程机器(12.34.56.78)上8080端口映射到本地的127.0.0.1:8080。 执行完以上命令后,就可以通过 12.34.56.78:8080 去访问本地的 127.0.0.1:8080 了。

通常把这种技术叫做 SSH 远程端口转发(remote forwarding)。

其实不限于只能把本地开发机上运行的服务映射到外网服务器上去,还可以把任何本地开发机可以访问的服务映射到外网服务器上去。例如在本地开发机上能访问 github.com:80,在本地开发机上执行:

ssh -R 8080:github.com:80 username@12.34.56.78

就能通过 12.34.56.78:8080 去访问 github.com:80 了。

保持运行

在执行完上面介绍的 SSH 隧道命令后,你会发现登入到了外网服务器上去了,如果你登出外网服务器,就会发现 12.34.56.78:8080 无法访问了。导致这个问题的原因是你登出外网服务器时,在外网服务器上本次操作对应的 SSH 进程也跟着退出了,而这个退出的进程曾负责监听在 8080 端口进行转发操作。

为了让 SSH 隧道一直保持在后台执行,有以下方法。

通过 SSH 自带的参数

SSH 还支持这些参数:

  • N参数:表示只连接远程主机,不打开远程shell;
  • T参数:表示不为这个连接分配TTY;
  • f参数:表示连接成功后,转入后台运行;

因此要让 SSH 隧道一直保持在后台执行,可以通过以下命令:

ssh -NTf -R 8080:127.0.0.1:8080 username@12.34.56.78

通过 AutoSSH

SSH 隧道是不稳定的,在网络恶劣的情况下可能随时断开。如果断开就需要手动去本地开发机再次向外网服务器发起连接。 AutoSSH 能让 SSH 隧道一直保持执行,他会启动一个 SSH 进程,并监控该进程的健康状况;当 SSH 进程崩溃或停止通信时,AutoSSH 将重启动 SSH 进程。

使用AutoSSH 只需在本地开发机上安装 AutoSSH ,方法如下:

  • Mac 系统:brew install autossh;
  • Linux 系统:apt-get install autossh;

安装成功后,在本地开发机上执行:

autossh -N -R 8080:127.0.0.1:8080 username@12.34.56.78

就能完成和上面一样的效果,但本方法能保持 SSH 隧道一直运行。 可以看出这行命令和上面的区别在于把 ssh 换成了 autossh,并且少了 -f 参数,原因是 autossh 默认会转入后台运行。

常见问题

如果你遇到通过以上方法成功启动 SSH 隧道后,还是无法访问 12.34.56.78:8080,那么很有可能是外网服务器上的 SSH 没有配置对。为此你需要去外网服务器上修改 /etc/ssh/sshd_config 文件如下:

GatewayPorts yes

这个选项的意思是,SSH 隧道监听的服务的 IP 是对外开放的 0.0.0.0,而不是只对本机的 127.0.0.1。不开 GatewayPorts 的后果是不能通过 12.34.56.78:8080 访问,只能在外网服务器上通过 127.0.0.1:8080 服务到本地开发机的服务。

修改好配置文件后,你还需要重启 sshd 服务来加载新的配置,命令如下:

service sshd restart

如果使用以上方法还是无法访问 12.34.56.78:8080,请检查你外网服务器的防火墙配置,确保 8080 端口是对外开放的。

其它代替方案

除了 SSH 隧道能实现内网穿透外,还有以下常用方法。

frp

frp 是一个可用于内网穿透的高性能的反向代理应用,支持 tcp, udp, http, https 协议。 frp 有以下特性:

  • frp 比 SSH 隧道功能更多,配置项更多;
  • frp 也需要一台外网服务器,并且需要在外网服务器上安装 frps,在本地开发机上安装 frpc;

ngrok

ngrok 是一个商用的内网穿透工具,它有以下特点:

  • 不需要有外网服务器,因为 ngrok 会为你提供;
  • 只需要在本地开发机安装 ngrok 客户端,和注册 ngrok 账户;
  • 按照服务收费;

这些代替方案的缺点在于都需要再额外安装其它工具,没有 SSH 隧道来的直接。 想了解更多可以访问它们的主页。

原创声明,本文系作者授权云+社区-专栏发表,未经许可,不得转载。

如有侵权,请联系 yunjia_community@tencent.com 删除。

编辑于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏linux运维学习

linux学习第五十四篇:配置Tomcat监听80端口,配置Tomcat的虚拟主机,Tomcat日志

配置Tomcat监听80端口 通过网站访问的是80端口,我们直接输入IP就可以,但是8080端口要输入,而80端口是默认的,可以省略的。所以我们要配置Tomc...

2127
来自专栏bboysoul

使用docker搭建wordpress网站

使用docker的好处就是尽量减少了环境部署,可靠性强,容易维护,我使用docker搭建wordpress的主要目标有下面几个 首先我重新生成数据库容器可以保...

421
来自专栏云计算教程系列

使用Apache或Nginx加密Tomcat流量

Tomcat是由Apache软件基金会下属的Jakarta项目开发的一个Servlet容器,按照Sun Microsystems提供的技术规范,实现了对Serv...

875
来自专栏张戈的专栏

Linux:10个实用的网络和监控命令

本文列出了 10 个基础的每个 Linux 用户都应该知道的网络和监控命令。网络和监控命令类似于这些: hostname, ping, ifconfig, iw...

3373
来自专栏乐沙弥的世界

基于iproute命令集配置Linux网络(ip命令)

iproute是Linux下一个网络管理工具包合集,用于取代先前的如ifconfig,route,ifup,ifdown,netstat等历史网络管理工具。该工...

1157
来自专栏散尽浮华

批量实现多台服务器之间ssh无密码登录的相互信任关系

1402
来自专栏飞雪无情的博客

一个简单的Golang实现的HTTP Proxy

最近因为换了Mac,以前的Linux基本上不再使用了,但是我的SS代理还得用。SS代理大家都了解,一个很NB的Socket代理工具,但是就是因为他是Socket...

723
来自专栏IMWeb前端团队

调试利器-SSH隧道

本文作者:IMWeb 吴浩麟 原文出处:IMWeb社区 未经同意,禁止转载 在开发微信公众号或小程序的时候,由于微信平台规则的限制,部分接口需要通过...

4909
来自专栏跟着阿笨一起玩NET

无线路由器的“克隆MAC地址”是干什么作用的?

本文章转载:http://blog.sina.com.cn/s/blog_4c900d100102uysb.html

422
来自专栏FreeBuf

ProxyChains实现自动添加代理逃避检测

使用爬虫爬取网站或者使用扫描器扫描目标时经常会遇到扫描频率较为频繁导致IP被封或者限制访问的情况,这时候我们就需要考虑利用IP代理的方式不断的变换IP进行爬虫和...

2785

扫码关注云+社区