自建服务器或者监控时,如何使外网设备访问到内网,是个麻烦问题。
这个任务称为内网穿透,解决方法通常是端口映射与端口转发。
网上关于端口映射与端口转发之间区别的讨论很多,观点也不尽相同,在此我也无意争辩二者的区别,因为实际情况是,端口映射与端口转发这两个词在很多时候都混用了。
在本文中,请各位暂且认同:端口映射发生于节点与路由/网关之间,以NAT(Network Address Translation,网络地址翻译)为原理;而端口转发以反向隧道、反向代理为原理,发生于两个网络节点的端口之间。
端口映射
要实现端口映射,如果是家庭宽带是公网IP,可以直接使用带端口映射功能的路由器,或者将网线插入一台电脑做网关(需要解决的是各服务器之间网络连接的问题,如何使其他服务器连上这台电脑,是通过网线桥接还是无线连接需要自行衡量);家庭宽带不是公网IP的,可以使用NAT服务提供商、DDNS服务提供商。
(一) 路由器的虚拟服务器(端口映射)功能
这种方法需要一个带有端口映射功能的路由器。我以中兴的天翼网关和树莓派motion网络服务为例。配置时,其中外部端口是外网访问的端口,例如可选9000,建议不要太小,因为服务提供商可能屏蔽较小的一些端口;内网端口是motion的端口,为8081或8080;协议选TCP;内部IP是树莓派的局域网ip。例如你的公网ip为59.60.84.xxx,这些设置完以后就可以在浏览器中输入59.60.84.xxx:9000,即可看到实时画面。
(二) Windows上专用的端口映射工具PortTunnel
PortTunnel是一个实现端口映射的专用工具。它是一个直接运行的软件。如果操作系统为Windows NT/Windows 2000/Windows XP,第一次运行时选择Start,PortTunnel会自动以服务方式运行。点击[Add]按钮添加条目,点击[Edit]按钮编辑现有条目,点击[Delete]按钮删除条目。
在这个“新建/编辑端口映射”对话框中,我们要给该条目命名,然后设定输入端口(Port In)、绑定地址(Bind address)、输出端口(Port Out)和输出地址(Address Out)。其中,“绑定地址”是指监听该主机的哪一个IP(内部IP还是外部IP)。设为“Any(0.0.0.0)”则监听该主机的全部IP。
PortTunnel专门针对HTTP、FTP、SMTP服务的端口映射,提供了较多的参数设置,在相应的标签菜单下调整。此外,PortTunnel还提供了安全性设置和日志、统计等功能。
附一篇教程:《PortTunnel [端口映射软件] 使用配置说明》
(三) Linux端口映射工具:RINETD
RINETD可以算得上Linux上最为简单好用的端口映射工具了,安装配置均很简单。在此我也就不展开说了,附一篇教程:《rinetd 一个linux下的端口转发工具》,若有需要,学着这个教程做一下就行。
(四) nat123的端口映射
nat123对Linux、Windows、Android都适用,在其官网上都有相应的教程:
Linux版教程 / Windows版教程 / Android版教程
nat123提供了比较丰富的端口映射功能,有http映射(80端口)、https映射(443端口)、非80端口、非网站(其他端口)、全端口映射、全映射等。提醒大家注意,除全端口映射外,其他服务是不需要在访问侧(外网)加装p2p访问者软件的,可以方便使用【全映射是全端口映射的面p2p访问者软件版本】。nat123有免费线路,也有收费服务,具体的收费情况大家自己再行了解。
我简单说一下全端口映射,以树莓派的vnc服务为例,首先你需要在nat123官网注册一个账号,然后树莓派上安装好nat123软件,并在本地APP上登录账号。nat123的端口映射管理功能在官网上【而不是在本地进行,或者说它只是没有告诉我们如何在本地进行管理】,所以你需要在nat123官网上添加端口映射时选择全端口映射(仅p2p),然后在安卓手机或Windows上安装p2p访问者(nat123官网下载),运行端口映射服务与vnc服务,对vnc来说,端口号=5900+桌面号,例如桌面号为1,那么端口号就是5901,打开p2p访问者,添加访问端口5901,注意p2p访问者要在后台运行,不要关掉,然后打开vnc viewer,输入域名和端口号5901,即可访问树莓派了。
nat123配置较为简单,容易上手;有开放免费线路且使用体验较好;Linux/Windows/Android皆可使用,可能适合较多的人。
(五) 花生壳内网穿透NAT-DDNS
说到内网穿透,网上很多人都会提到花生壳的内网穿透。花生壳的解决方案是基于NAT和DDNS的。很多年前我使用花生壳的时候,这个服务确实还是可以的,免费,而且连接速度OK,现在用的人太多,速度自然降下来了,也开始提供付费服务了。具体内容我不多说了。
花生壳官网:http://www.oray.com
下面介绍端口转发,端口转发都需要一个公网IP服务器,如果自己没有的话,就只能寻找第三方提供的服务了。
基于反向隧道的端口转发
反向隧道端口转发的典型是SSH端口转发,下面我先介绍如何在自己有公网IP服务器的情况下用SSH反向隧道做端口转发,然后介绍一款开源的SSH端口转发工具(第三方服务)。
(一) ssh端口转发
ssh端口转发基础知识
ssh的三个强大的端口转发命令:
转发到远端:ssh -C -f -N -g -L 本地端口:目标IP:目标端口 用户名@目标IP
转发到本地:ssh -C -f -N -g –R 本地端口:目标IP:目标端口 用户名@目标IP
动态端口转发:ssh -C -f -N -g -D listen_port 用户名@目标IP
-C:压缩数据传输。
-f :后台认证用户/密码,通常和-N连用,不用登录到远程主机。
-N :不执行脚本或命令,通常与-f连用。
-g :在-L/-R/-D参数中,允许远程主机连接到建立的转发的端口,如果不加这个参数,只允许本地主机建立连接。
-L 本地端口:目标IP:目标端口:将本地机(客户机)的某个端口转发到远端指定机器的指定端口. 工作原理是这样的, 本地机器上分配了一个 socket 侦听 port 端口, 一旦这个端口上有了连接, 该连接就经过安全通道转发出去, 同时远程主机和 host 的 hostport 端口建立连接. 可以在配置文件中指定端口的转发. 只有 root 才能转发特权端口. IPv6 地址用另一种格式说明: port/host/hostport
-R 本地端口:目标IP:目标端口:将远程主机(服务器)的某个端口转发到本地端指定机器的指定端口. 工作原理是这样的, 远程主机上分配了一个 socket 侦听 port 端口, 一旦这个端口上有了连接, 该连接就经过安全通道转向出去, 同时本地主机和 host 的 hostport 端口建立连接. 可以在配置文件中指定端口的转发. 只有用 root 登录远程主机才能转发特权端口. IPv6 地址用另一种格式说明: port/host/hostport
-p :被登录的ssd服务器的sshd服务端口。
-D listen_port:指定一个本地机器 “动态的'’ 应用程序端口转发. 工作原理是这样的, 本地机器上分配了一个 socket 侦听 port 端口, 一旦这个端口上有了连接, 该连接就经过安全通道转发出去, 根据应用程序的协议可以判断出远程主机将和哪里连接. 目前支持 SOCKS4 协议, 将充当 SOCKS4 服务器. 只有 root 才能转发特权端口. 可以在配置文件中指定动态端口的转发.
ssh端口转发简单测试
(1)只有树莓派和服务器
步骤①:在树莓派上,通过远程端口映射,将服务器的2222端口映射到树莓派的22端口:
ssh -fNR 2222:localhost:22 root@公网IP
步骤②:服务器上访问树莓派:
ssh -p 2222 pi@localhost
但事实上,有时候我们可能更需要另一个设备可以访问树莓派,而不是在服务器上访问。因此这个时候我们就需要做两次映射。
(2)树莓派、服务器、第三方设备
步骤①:在树莓派上,通过远程端口映射,将服务器的2222端口映射到树莓派的22端口:
ssh -fNR 2222:localhost:22 root@公网IP
步骤②:在第三方设备上,通过本地端口映射,将第三方设备的2222端口映射到服务器的2222端口:
ssh -fNL 2222:localhost:2222 root@公网IP
步骤③:在第三方设备上访问树莓派:
ssh -p 2222 pi@localhost
(二) Holer
Holer的GitHub地址:https://github.com/Wisdom-Projects/holer
Holer是基于SSH的内网穿透服务。在Holer仓库的readme文档下有使用指南,没什么技术难度,我就简单说说:例如你想远程SSH登陆你的树莓派,将conf/holer.conf文件中原有的Holer Access Key修改为针对SSH服务的Holer Access Key,再启动Holer即可,服务端就配置完成了。Holer提供的SSH服务的映射端口是holer.org:65534,则在客户端的连接方式是:
ssh [email protected] -p 65534
可以看到,Holer的配置确实简单,但是其问题也十分明显,只有一个Holer Access Key作为唯一标识,大家都是用这个Key,连接数多了以后就出问题了。
Holer也提供了独立的Access Key,这是需要付费开通的。
基于反向代理的端口转发
有公网IP服务器的人可以使用frp、ngrok、n2n等反向代理工具来实现内网穿透。
(一) frp内网穿透
GitHub仓库:https://github.com/fatedier/frp
GitHubReleases:https://github.com/fatedier/frp/releases/
根据服务器/客户端所属架构与系统,在releases中分别下载合适的版本,并解压出来。
frps.ini是服务器端的配置文件,配置如下:
[common]
bind_port = 6666
记住bind_port是frp服务的监听端口。
启动服务端frps:
./frps -c ./frps.ini
而在客户端,我们要修改的配置文件是frpc.ini(以ssh服务为例):
[common]
server_addr = x.x.x.x
server_port = 6666
[ssh]
type = tcp
local_ip = 127.0.0.1
local_port = 22
remote_port = 2222
server_addr是服务器的公网ip,server_port是服务器上设置的frp服务的监听端口。
[ssh]部分的local_port是ssh服务的本地端口,默认是22,而remote端口并不是6666,而是由自己另外指定的服务器上ssh转发的目标端口,这里我选择2222。
启动客户端frpc:
./frpc -c ./frpc.ini
正确连接后,访问本地服务器则可以使用以下命令:
ssh pi@公网ip -p 2222
(二) ngrok内网穿透
请看《自搭Ngrok实现树莓派内网穿透》。
(三) n2n内网穿透
请看《n2n内网穿透神器(一条命令实现穿透)(linux,安卓,win,openwrt全介绍)》。
————————————————
版权声明:本文为CSDN博主「小小角色熊」的原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/xiaobaixiongxiong/article/details/89177220
