三条命令助你完成ssh内网穿透

ssh反向隧道相信大多数同学都比较了解，就算不了解也一定在日常工作中听说过，其实抛开那些专业的术语，通常我们借助ssh的反向隧道来实现两个网络隔离的主机间通信。最近小白在远程操作一个私有化的项目时正好用到了这个，简单总结了下便有了此文章。

在操作之前，我先将需要的资源列出一个表格，大家在操作前可以先按照如下准备资源：

这里为了操作方便机器全部用的root账号，大家不要学我?

我的需求很简单，即客户内网B中有一批刚装完操作系统的服务器，我需要在公司或者家中的电脑上通过Ansible Playbook批量对这些机器进行初始化。

第一步：开启ssh server代理功能

在位于公网服务器上打开sshd的GatewayPorts开关，并重启sshd

sed -i "s/#GatewayPorts no/GatewayPorts yes/g" /etc/ssh/sshd_config
systemctl restart ssh

打开代理功能意味着，当我们在建立ssh反向隧道后，监听的地址会从默认的127.0.0.1更换成0.0.0.0，方便ssh客户端远程登录。

第二步：建立ssh反向隧道

在客户内网B中找一台能访问121.41.218.68地址的服务器，登录上去，并在终端内执行下述命令：

ssh -lroot -p22 -qngfNTR 8822:localhost:22 121.41.218.68 -o ServerAliveInterval=10

这一步的关键信息其实就是在主机B和主机A之间建立一条SSH隧道，隧道端口的映射关系是主机B:22 <--> 主机A:8822

之所以加上ServerAliveInterval=10，是让客户端每10s发送一个心跳保持隧道的链接，否则这条连接很容易被重置。

第三步：本地ssh client代理

目前有了ssh的隧道也只能满足我本地主机C能通过121.41.218.68的8822端口ssh登录到客户内网的B主机，还不能满足我进行批量运行任务的需求。

此时，我们就需要在自己电脑上配置ssh客户端的socket代理来满足需求，配置位于～/.ssh/config

host hosta
    HostName 121.41.218.68
    Port 8822
    User root
   
host 10.155.0.*
    User root
    Port 22
    ProxyCommand ssh hosta -W %h:%p

至此，我就可以在本地用ansible-playbook无缝的进行操作了。

总结

上述3步是整个ssh内网穿透的核心流程，如果要做得更加的优雅的话，我们还需要考虑几点优化：

• 为三台机器上的ssh客户端分别配置公私钥
• 为主机B上的ssh方向隧道创建服务进程，避免重启后隧道丢失
• 尽量保证公网主机A的网络安全，可单独为隧道端口配置防火墙策略

当然，ssh反向隧道除了能代理ssh服务外，它也能对内网的其他服务做socket转发，这里本文就不再展开。总之，建立SSH反向隧道这种事情大多数情况都是迫于无奈的临时选择，我们在用完后要及时释放连接，避免长期闲置被不法分子盯上后带来的损失。