SSH反向代理配置教程

最新推荐文章于 2025-06-05 11:14:20 发布
最新推荐文章于 2025-06-05 11:14:20 发布
阅读量2.2k 收藏 31
点赞数 32
CC 4.0 BY-SA版权
文章标签: ssh 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/elysium_/article/details/135897091

注:本篇文章不讲原理,只说实现,具体原理自己Google吧!

功能说明

(1)假设我有一台内网(或者说处于内部局域网)的服务器 A,其内网 IP 为 192.168.1.2,但由于没有公网 IP,因此我们无法直接从外网连接这个服务器。

(2)不过服务器 A 能访问外网,假设我们有台外网服务器 B,其公网 IP 为 222.197.219.26。那么我们就可以在服务器 A 上做到服务器 B 的反向代理,然后我们便能通过服务器 B 来连接服务器 A。

注意:即使服务器 A 不能访问外网,但只要服务器 A 能访问服务器 B,且外网也能访问服务器 B,那么同样可以实现从外网借由 B 访问服务器 A。

登录服务器 A 执行如下命令,实现连接到服务器 B 开启反向端口代理。

ssh -fCNR :20010:localhost:22 root@222.197.219.26

其中 22 为 A 的本地端口,20010 为 B 的监听端口(执行后会要求输入服务器 B 的密码),root为B服务器的用户。

回到服务器 B 执行如下命令可以看到这个监听:

netstat -anp | grep 20010

连接测试:

ssh -p 20010 root@222.197.219.26

docker容器内也适用这个方法

参数说明

ssh参数

# 反向代理  
ssh -fCNR

正向代理  
ssh -fCNL

-f 后台执行ssh指令
-C 允许压缩数据
-N 不执行远程指令
-R 将远程主机(服务器)的某个端口转发到本地端指定机器的指定端口
-L 将本地机(客户机)的某个端口转发到远端指定机器的指定端口
-p 指定远程主机的端口

踩坑说明

从外部还是连不能从B连上A,但是可以直接从B连上A

在上面执行到最后的时候发现连不上,可能是地址调用回环了:

ssh: connect to host 222.197.219.26 port 20010: No route to host

但是当我们进入B服务内,直接对本地的20010端口使用ssh连接,发现居然连上了。

ssh root@127.0.0.1 -p 20010

解决方式:

再使用nginx代理一遍,nginx 配置文件添加如下, 和http同级

	stream { 
		upstream 20010_ssh {
			hash $remote_addr consistent;"
			server 127.0.0.1:20010; # 这里被反代的地址和端口 
		} 
		server { 
			listen 20001;
			proxy_pass 20010_ssh; 
			proxy_connect_timeout 1h; 
			proxy_timeout 1h; 
		} 
	}

这样就可以通过20001端口去连接服务器A了

ssh -p 20001 root@222.197.219.26

其实如果有一个服务器C,他同时能被外网访问也能访问到服务器A,就直接可以用nginx代理了。但是那样简单的多。下面做个补充:

	stream { 
		upstream 2_ssh {
			hash $remote_addr consistent;
			server 192.168.1.2:22; # 这里A服务器的地址,对应A的端口 
		} 
		server { 
			listen 20011; #外层通信需要的tcp端口 
			proxy_pass 2_ssh; 
			proxy_connect_timeout 1h; 
			proxy_timeout 1h; 
		} 
	}

这样就可以通过222.197.219.26的20011端口去连接192.168.1.2的ssh服务了。

解决方式2

上面的解决办法是在正向代理一遍,当然也可以直接使用ssh的正向代理:

ssh -fCNL *:20001:localhost:20010 jay@localhost

ssh -fCNL [A机器IP或省略]:[A机器端口]:[B机器的IP]:[B机器端口] [登陆B机器的用户名@B机器的IP]

解决方式3

在使用SSH反向代理的时候,可以从公网ssh localhost连接到内网(即需要先ssh连接到B服务器,然后在B服务器中ssh连接到A服务器)。这样做需要先登录到公网服务器,因此对于只想要给其他人提供一个跳板的人来说,不希望别人能登录自己的服务器。所以就需要在反向代理的时候,将绑定的端口开放到公网,而非127.0.0.1。所以需要在B服务器中的sshd_config中设置GatewayPorts为yes。

修改/etc/ssh/sshd_config

GatewayPorts yes

修改后记得手动重启ssh服务service sshd restart

GatewayPorts
是否允许远程主机连接本地的转发端口。默认值是"no"。
sshd(8) 默认将远程端口转发绑定到loopback地址。这样将阻止其它远程主机连接到转发端口。
GatewayPorts 指令可以让 sshd 将远程端口转发绑定到非loopback地址,这样就可以允许远程主机连接了。
"no"表示仅允许本地连接,"yes"表示强制将远程端口转发绑定到统配地址(wildcard address),

SSH在一定时间没有任何的操作后就会自动的断开

解决方式1

修改/etc/ssh/sshd_config

ClientAliveInterval 60
ClientAliveCountMax 3

找到 ClientAliveInterval 0和ClientAliveCountMax 3并将注释符号(”#”)去掉, 将ClientAliveInterval对应的0改成60,ClientAliveInterval指定了服务器端向客户端请求消息的时间间隔, 默认是0,不发送. ClientAliveInterval 60表示每分钟发送一次, 然后客户端响应, 这样就保持长连接了. ClientAliveCountMax, 使用默认值3即可.ClientAliveCountMax表示服务器发出请求后客户端没有响应的次数达到一定值, 就自动断开. 这样的配置就能让一个SSH的配置保持长连接了,代理就能稳定的在线。

ClientAliveCountMax
sshd(8) 在未收到任何客户端回应前最多允许发送多少个"alive"消息。默认值是 3 。
到达这个上限后,sshd(8) 将强制断开连接、关闭会话。
需要注意的是,"alive"消息与 TCPKeepAlive 有很大差异。
"alive"消息是通过加密连接发送的,因此不会被欺骗;而 TCPKeepAlive 却是可以被欺骗的。
如果 ClientAliveInterval 被设为 15 并且将 ClientAliveCountMax 保持为默认值,
那么无应答的客户端大约会在45秒后被强制断开。这个指令仅可以用于SSH-2协议。

ClientAliveInterval
设置一个以秒记的时长,如果超过这么长时间没有收到客户端的任何数据,
sshd(8) 将通过安全通道向客户端发送一个"alive"消息,并等候应答。
默认值 0 表示不发送"alive"消息。这个选项仅对SSH-2有效。

解决方式2

使用autossh自动监听,请确保你已经安装autossh(自行Google),然后重新执行反向代理,需要先ps -aux 查看之前反代的进程然后kill pid 掉 :

autossh -M 7000 -fCNR :20014:localhost:22 root@222.197.219.26

补充免密登录

ssh每次重连都需要键入密码,故在此首先设置免密码登陆到内网

在A服务器上执行 ssh-copy-id 外网用户名@外网IP

ssh-copy-id root@222.197.219.26

ssh反向代理
段帅星的博客
05-20 445
环境信息。
使用SSH反向代理进行内网穿透
a908743606的博客
10-22 576
使用SSH反向代理进行内网穿透首先参照前辈的SOP遇到的问题1解决问题1的办法遇到的问题2解决问题2的办法 首先参照前辈的SOP https://blog.youkuaiyun.com/jiangbenchu/article/details/84438959 遇到的问题1 在服务器B命令行中输入ssh -p1234 gdut728@123.123.123.123后出现的错误: 服务器B命令行提示的错误: co...
ssh反向代理实现内网穿透【亲测可用】
流星雨的博客
01-16 1万+
本文在文镜老哥的指导下,使用第2种ssh反向代理的方式,通过内网打包服务器,借助外网服务器,实现在家访问我们的打包服务。
外网如何通过路由器访问内网服务器?常见的端口映射和内网穿透等方案详解
最新发布
csghdn的博客
06-05 894
而且同时提供了一定的安全防护机制,保障内网服务器的安全。4.生成客户端配置文件:将生成好的客户端证书、密钥以及修改后的配置文件打包,下载到需要访问内网服务器的设备上,然后导入到 OpenVPN 客户端中,连接成功后即可访问内网服务器。但它的搭建和维护相对复杂,需要具备一定的网络知识和服务器管理经验,而且在部分地区, VPN 的使用是受到限制的。反向代理的好处是大大提高了安全性,隐藏了内网服务器的真实 IP 地址,还能对请求进行过滤、缓存等处理,并且可以实现负载均衡,提升网站的可用性和性能。
SSH 反向代理
weixin_33777877的博客
03-29 405
SSH反向代理 被控制端没有NAT或者没有静态公网IP,把本端一台服务器映射到外网给远端SSH进来,建立SSH反向隧道。 先映射本端机器到外网 nat server 2222to22 protocol TCP global 1.2.4.8 22 inside 10.10.10.10 22 no-reverse​ 被控端发起连接 ssh -fCNR 8822:localhost:22...
SSH反向代理
热门推荐
zokie的专栏
01-10 3万+
说实话,我对反向代理这个概念并不熟悉,只是感觉以下要做的事是一个代理的逆向过程,故借此名词一用。   问题场景是这样的:我有两套Linux集群的访问权限,分别为A和B,它们互相独立。其中A、B集群均能访问外网,但只有A集群有公网IP,所以从外网直接登录B就不行。要解决的问题就是从外网能登录到B集群。   我对代理的理解是:一台不能访问外网的机器,通过局域网内一台可以访问外网的机器代理服务,
SSH反向代理
Linux技术宅
06-09 920
SSH反向代理的实现需要一台有公网IP的主机作为代理服务器,客户端通过SSH连接到这台服务器上,然后通过服务器的端口转发功能将请求转发给内部网络中的目标主机。具体的操作方式可以通过在客户端执行SSH命令,指定代理服务器的IP地址和端口号,以及目标主机的IP地址和端口号来实现。在这种方式中,客户端通过SSH连接到一台具有公网IP的主机,然后这台主机再将请求转发给内部网络中的目标主机。总之,SSH反向代理是一种安全、方便的远程访问方式,可以帮助用户实现远程登录、文件传输等功能,同时提高网络的安全性和可访问性。
ssh 反向代理
guoke312的专栏
02-01 3256
系统版本:Centos7 这篇文章主要介绍了如何利用SSH 反向隧道穿透NAT,并演示了如何维持一条稳定的SSH 隧道。 1. 描述一下目前的机器状况,梳理梳理: 机器 IP 用户名 备注 A 10.21.32.106 gdut728 目标服务器,处于内网 B 123.123.123.123 root 外网服务器,相当于桥梁的作用 2. 解决方法: 通俗地说:就是在机器A上做到B机器的反向代理;然后在B机器上做正向的代理实现本地端口的转
阿里云服务器上配置ssh反向代理
August-us的博客
05-16 2万+
阿里云服务器上配置ssh反向代理使用autossh来让目的主机在公网主机上建立这个端口映射   本文的内容可能偏运维,不是因为搞这个方向,而是确实存在一些坑,而且这些坑可能会被很多人踩。可能之前很多人在阿里云上配置ssh反向代理,简单的装个autossh,然后一条命令就搞定了。但是我最近在使用了阿里云的轻应用服务器。但是配置好autossh命令之后,在服务器的防火墙上配置了安全规则之后,发现奇怪的一幕。就是autossh已经配置成功了,在云服务器上使用本地地址和端口可以访问目的主机的ssh了,但是无法通过
通过 frp 内网穿透实现异地 SSH 连接(反向代理
jax2730的博客
01-17 499
起因是我放假回家,想在家里通过SSH连接放在学校的无显示器的Linux,但是学校的Linux是内网,无法直接连接,且无显示器无法使用向日葵等远程桌面软件,所以想到了使用frp的反向代理功能实现内网穿透,进而实现异地SSH连接。
ssh反向代理实现内网穿透
小晓晓晓林的博客
12-23 3571
​​​  为了安全起见,公司或者是学校的服务器一般只允许用户在局域网内登录,离开内网环境后就没法登录服务器,特别不方便。但是在某些情况下,我们又想和服务器进行通信的话,就需要借助端口转发来达到目的。   ssh是一种安全的传输协议,通常我们会用在连接服务器上比较多。不过除了这个功能以外,ssh的隧道转发功能更吸引人。 ssh常用命令参数 -C 请求压缩所有数据 -f 告诉s...
SSH反向代理使用
weixin_41038905的博客
02-09 5546
SSH反向代理 先说说什么是代理,源服务器由于各种原因无法访问目标服务器提供的服务,但是存在一个agent服务器,源服务器可以访问它,它可以访问目标服务器,那么源服务器的消息发给他,它在把请求转发给目标服务器,就间接的实现了源服务器访问目标服务器的目的。 这就是代理,也是一般所说的正向代理,正向代理一般是代理客户端(源服务器,信息的请求者)。这时候,在公网上发送的信息的请求者就是代理服务器的身份,而不是真正客户端的身份。好处显而易见,隐藏客户端的身份。 反向代理 百度百科:当一个代理服务器能够代理外部网络
ssh 设置反向代理
weixin_30739595的博客
07-03 590
远程主机上/etc/ssh/sshd_config中,开启 GatewayPorts yes systemctl reload sshd 本地: ssh -CqTnN -R 0.0.0.0:9000:localhost:7070 root@109.105.4.65109.105.4.65 9000端口的流量会发送到 localhost的7070端口SecureSRT设置: 选项...
Linux如何做ssh反向代理
Lenn Louis' Scribe
09-07 954
SSH反向代理是一种通过SSH协议实现的安全远程访问方式,它允许客户端通过SSH连接到一台具有公网IP的代理服务器,然后这台代理服务器再将请求转发给内部网络中的目标主机。
linux ssh反向代理
拥剑的博客
05-10 1134
参考:https://segmentfault.com/a/1190000002718360内外运行:sshpass -p 123456 ssh -fNR 5000:localhost:22 serveruser@101.200.50.71外网运行:ssh -fCNL "*:5005:localhost:5000" serveruser@localhost注意:(1)serveruser是外网li...
关于oracle 使用本地ssh 反向代理oracle 监听
12-07
在Oracle数据库管理中,使用本地SSH反向代理来监听Oracle数据库是一种常见的技术手段,特别适用于需要远程访问数据库但又受到网络限制的情况。以下是具体的步骤和原理: ### 步骤: 1. **配置Oracle监听器**: - 确保Oracle数据库的监听器配置正确,并且能够在本机(本地)上正常访问。 - 编辑`listener.ora`文件,确保监听器配置如下: ```plaintext LISTENER = (ADDRESS = (PROTOCOL = TCP)(HOST = localhost)(PORT = 1521)) ``` 2. **建立SSH反向隧道**: - 在本地机器上使用SSH命令建立反向隧道,将本地的Oracle监听端口(通常是1521)映射到远程服务器的某个端口(例如,远程服务器的1522端口)。 - 命令如下: ```bash ssh -N -f -L 1522:localhost:1521 user@remote_server ``` 其中,`user@remote_server`是远程服务器的用户名和地址。 3. **配置远程服务器**: - 在远程服务器上,确保防火墙允许通过1522端口进行访问。 - 编辑远程服务器上的`tnsnames.ora`文件,添加一个新的网络服务名,指向本地的1522端口: ```plaintext ORCL_REMOTE = (DESCRIPTION = (ADDRESS = (PROTOCOL = TCP)(HOST = localhost)(PORT = 1522)) (CONNECT_DATA = (SERVER = DEDICATED) (SERVICE_NAME = orcl) ) ) ``` 4. **测试连接**: - 使用Oracle客户端工具(如SQL*Plus)连接到远程服务器的1522端口,验证是否能够成功访问Oracle数据库。 - 命令如下: ```bash sqlplus username/password@ORCL_REMOTE ``` ### 原理: 通过SSH反向隧道,本地的Oracle监听端口被映射到远程服务器的某个端口。这样,远程服务器上的Oracle客户端可以通过本地端口访问到实际的Oracle数据库。整个过程通过SSH加密传输,确保了数据的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值