【Linux】SSH 隧道转发场景搭建

ssh建立隧道转发

A设备：没有公网IP地址的本地设备，如本地内网服务器（需要能通公网）
B设备：有公网IP地址的服务器，可以是云服务器
C设备：终端设备，想通过公网服务器B访问到设备A

要实现通过公有云服务器 B 访问内网 A 服务器的场景，可以使用 SSH 隧道转发（SSH Tunneling）技术。这个技术可以通过公有云服务器 B 建立一个跳板，使得你可以通过 SSH 访问到内网 A 服务器。

下面是具体的配置步骤：

1. 在 A 服务器上配置 SSH

A 服务器已经获取到 IP，假设 A 服务器的 IP 是 192.168.1.100，首先确保 A 服务器上已经安装并配置好了 SSH 服务。

2. 在 B 服务器上配置 SSH

B 服务器是具有公网 IP 的云服务器，假设 B 服务器的公网 IP 是 203.0.113.1，同样确保 B 服务器上已经安装并配置好了 SSH 服务。

3. 在 A 服务器上建立反向 SSH 隧道

在 A 服务器上运行以下命令来建立反向 SSH 隧道：

ssh -R 2222:localhost:22 [email protected]

这条命令的含义是将 A 服务器的 22 端口映射到 B 服务器的 2222 端口。其中 user 是 B 服务器上的用户名。

可以使用 autossh 工具来保持这个隧道的持久连接，确保断开后能够自动重新连接。安装 autossh 并使用它来建立隧道：

sudo apt-get install autossh

autossh -M 0 -f -N -R 2222:localhost:22 [email protected]

4. 在 B 服务器上配置 SSH 以允许端口转发

确保 B 服务器上的 SSH 配置文件允许网关和端口转发。编辑 /etc/ssh/sshd_config 文件，确保以下配置项没有被注释掉：

GatewayPorts yes
AllowTcpForwarding yes

然后重新启动 SSH 服务：

sudo systemctl restart ssh

5. 在本地 PC 上连接 A 服务器

通过 B 服务器建立到 A 服务器的连接。假设你使用的是 OpenSSH 客户端，可以在本地 PC 运行以下命令：

ssh -p 2222 [email protected]

这条命令的含义是通过 B 服务器的 2222 端口连接到 A 服务器的 22 端口，其中 user_on_A 是 A 服务器上的用户名。

总结

通过以上配置，你可以实现从本地 PC 通过 B 服务器 SSH 访问到 A 服务器的场景。

# 在A服务器上执行
ssh -R 2222:localhost:22 [email protected]

# 或使用autossh保持会话状态
sudo apt-get install autossh
autossh -M 0 -f -N -R 2222:localhost:22 [email protected]

# 在B服务器上确保ssh配置
sudo vim /etc/ssh/sshd_config
# 确保以下配置项
GatewayPorts yes
AllowTcpForwarding yes
# 重启ssh服务
sudo systemctl restart ssh

# 在本地PC上执行
ssh -p 2222 [email protected]

应用：

要在两台服务器（A 服务器和 B 服务器）之间配置 SSH 免密登录，你需要在 A 服务器上生成 SSH 密钥对，并将公钥复制到 B 服务器上。以下是详细步骤：

步骤 1：在 A 服务器上生成 SSH 密钥对

在 A 服务器上，使用以下命令生成 SSH 密钥对：

ssh-keygen -t rsa

在执行上述命令后，会提示你选择保存密钥对的路径。通常情况下，可以直接按 Enter，使用默认路径（~/.ssh/id_rsa）。

之后系统会提示你设置一个密码短语（passphrase）。如果你希望完全免密登录，可以直接按 Enter 跳过此步骤，不设置密码短语。

步骤 2：将 A 服务器的公钥复制到 B 服务器

使用以下命令将 A 服务器生成的公钥复制到 B 服务器：

ssh-copy-id -i ~/.ssh/id_rsa.pub root@B服务器的IP地址

这条命令会将公钥追加到 B 服务器的 ~/.ssh/authorized_keys 文件中。

如果 ssh-copy-id 命令无法使用，你也可以手动复制公钥。首先，在 A 服务器上查看生成的公钥：

cat ~/.ssh/id_rsa.pub
然后，将显示的公钥内容复制到 B 服务器的 ~/.ssh/authorized_keys 文件中。

步骤 3：测试免密登录
在 A 服务器上，尝试通过 SSH 连接到 B 服务器，验证是否可以免密登录：

ssh root@B服务器的IP地址
如果配置正确，你将直接登录到 B 服务器而不需要输入密码。

注意事项
确保 B 服务器上的 ~/.ssh/authorized_keys 文件的权限设置正确，一般设置为 600：

chmod 600 ~/.ssh/authorized_keys

确保 ~/.ssh 目录的权限为 700：

chmod 700 ~/.ssh

配置完成后，A 服务器应该可以免密码直接登录 B 服务器了。

配置脚本监听状态

你可以将脚本改为分别检查这条 SSH 隧道，如果任意一条不存在，就重新启动对应的 SSH 隧道。以下是修改后的脚本：

#!/bin/bash

# 定义要检查的SSH隧道命令列表
declare -A tunnels=(
    ["IPxxxxx1"]="ssh -v -fNTR 9999:localhost:22 root@IPxxxxx1 -p 22"
    ["IPxxxxx2"]="ssh -v -fNTR 9999:localhost:22 root@IPxxxxx2 -p 22"
    ["IPxxxxx3"]="ssh -v -fNTR 9999:localhost:22 root@IPxxxxx3 -p 22"
)

# 遍历每一个隧道并检查是否存在
for ip in "${
     
     !tunnels[@]}"; do
    if ! ps -ef | grep -v grep | grep -q "${tunnels[$ip]}"; then
        echo "SSH tunnel to $ip not found, starting it..."
        ${tunnels[$ip]}
    else
        echo "SSH tunnel to $ip is running."
    fi
done

这个脚本定义了一个关联数组 tunnels，其中键是 IP 地址，值是对应的 SSH 命令。脚本会遍历每个隧道的命令，使用 ps -ef | grep 检查它是否正在运行。如果没有找到对应的进程，就重新启动该 SSH 隧道。

保存并确保脚本可执行：

chmod +x /path/to/check_ssh_tunnel.sh

配置 Crontab：

编辑 crontab：

crontab -e

添加以下任务，每分钟检查一次：

* * * * * /path/to/check_ssh_tunnel.sh >> /var/log/ssh_tunnel.log 2>&1

这将每分钟运行一次脚本，检查 SSH 隧道是否存在，不存在则启动，并将输出日志记录到 /var/log/ssh_tunnel.log。