配置 SSH 端口转发,并设置开机启动

SSH

为了降低运维成本,提高可靠性,物理服务器往往都不再部署在本地,IDC 托管成了更多企业的选择。服务器托管在 IDC 后,出于安全的考虑,不会直接开放所有服务器的外部访问,而是使用跳板机,跳板机可以直接从外部访问,而其他服务器只能在登录到跳板机后才能连接得上。但如果开发或者调试时,需要直接从外部 SSH 登录进 IDC 中的某台服务器,就很麻烦了。好在 SSH 端口转发,这个功能正好可以解决上面提到的问题。

1. SSH 端口转发

所说的 SSH 端口转发 (port-forwarding),是指将远端服务器的端口和本地服务器上的某个端口进行绑定,这个功能一般都是用在代理服务器上,跳板机就刚好是这种情况,举例来说,假设 IDC 网络内有一台跳板机:内网地址为 192.168.1.2,同时有外网连接,还有一台只有内网的服务器 192.168.1.100。内网服务器 192.168.1.100 启动了一个 HTTP 服务,监听在 80 端口,但因为 192.168.1.100 只有内网连接,外部访问不到,那么可以使用 SSH 的端口转发,将 192.168.1.100 的 80 端口绑定到跳板机 192.168.1.2 的 80 端口上。

虽然听起来概念比较复杂,但实现起来非常简单,一条命令就搞定了。192.168.1.100 的 22 端口就绑定在了 192.168.1.2 的 40100 端口上。

# On 192.168.1.100
$ ssh -NfR 40100:localhost:22 192.168.1.2

最终的效果是如下两条命令是等价的,全都是登录到 192.168.1.100 上:

ssh -p 40100 192.168.1.2
ssh 192.168.1.100

2. 开放目标端口的外网映射

之前的步骤只是将跳板机的 40100 端口和 HTTP 服务器的 22 端口做了绑定,如果要能从外部访问,还是需要做跳板机上 40100 端口的外网映射才行。

3. 使用 systemd 配置开机自启动

好,现在已经实现了基本功能,但如果服务器重启,ssh 端口转发的命令就会失效。systemd 现在已经成了 Linux 启动和守护进程管理的标准,所以就写一个 systemd 的 service 文件来实现这个需求吧。service 文件内容如下:

$ cat ssh-port-forward.service 
[Unit]
Description=SSH port forward for to jump server 192.168.1.2's port 40100. 40100 is already mapped to public network. As a result, we can use this command to SSH login to this server: ssh -p 40100 -l haoweilai 100.168.1.2
After=sshd.service

[Service]
User=haoweilai
Group=haoweilai
ExecStart=/usr/bin/ssh -NR 40067:localhost:22 192.168.1.2
[Install]
WantedBy=multi-user.target
Alias=ssh-port-forward.service

将该文件放在目录 /lib/systemd/system 下。然后执行 systemd 的配置加载、命令启动和开机自启动命令:

$ sudo systemctl daemon-reload
$ sudo systemctl start ssh-port-forward.service
$ sudo systemctl enable ssh-port-forward.service

4. 参考文档

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏闵开慧

hibenate中log4j.properties文件添加到eclipse中

Hibernate用log4j包来做日志输出,这就要求项目中创建一个log4j的配置文件log4j.properties,否则有些运行日志就无法看到(不会影响程...

3485
来自专栏曾倩倩的专栏

su命令cannot set groups: Operation not permitted的解决方法

问题场景: user_00@hadoop-10-125-224-102:> su root Password: su: cannot set groups:...

6598
来自专栏喵了个咪的博客空间

Otter-入门篇2(Manager安装配置)

Otter-入门篇2(Manager安装配置) ? 前言 上一节已经简单介绍了Otter的基本信息,本节我们就来开准备搭建一个我们自己的Otter环境,因为一个...

39511
来自专栏xcywt

UNIX域协议(命名套接字)

这里主要介绍命名UNIX域套接字 1.什么是UNIX域套接字 Unix域协议并不是一个实际的协议族,而是在单个主机上执行客户/服务通信的一种方式。是进程间通信(...

26810
来自专栏一名合格java开发的自我修养

细说进程五种状态的生老病死——双胞胎兄弟Java线程

java线程的五种状态其实要真正高清,只需要明白计算机操作系统中进程的知识,原理都是相同的。

1351
来自专栏程序员同行者

Django Rest Framework-介绍

5244
来自专栏Jack-Cui

Ubuntu12.04下配置Eclipse+PyDev

开发平台:Ubuntu12.04 IDE:Eclipse3.7.2 python版本:python3.4.4     搭建Eclipse+PyDev的开发环境,...

2100
来自专栏bboysoul

kali工具-DNSenmum

首先下载 git clone https://github.com/fwaeytens/dnsenum.git 根据里面的INSTALL.txt来安装 首...

1151
来自专栏Keegan小钢

App环境分离的实现:Android篇

我在App架构经验总结中有简单提到环境分离的实现方案,但没有深入讲实现细节。本系列则打算用两篇文章分别详细讲讲Android和iOS环境分离的具体实现,本篇则先...

1291
来自专栏抠抠空间

Django之logging日志

简介 Django使用python自带的logging 作为日志打印工具。简单介绍下logging。 logging 是线程安全的,其主要由4部分组成: Log...

7836

扫码关注云+社区

领取腾讯云代金券