• 欢迎访问V小白网站,推荐使用最新版火狐浏览器和Chrome浏览器访问本网站,欢迎加入V小白 暂无QQ群
  • 欢迎访问V小白网站,这是第二个滚动条

配置 SSH 端口转发,并设置开机启动

其他分类 admin 2019年6月28日 10:36 67 0 个评论

为了降低运维成本,提高可靠性,物理服务器往往都不再部署在本地,IDC 托管成了更多企业的选择。服务器托管在 IDC 后,出于安全的考虑,不会直接开放所有服务器的外部访问,而是使用跳板机,跳板机可以直接从外部访问,而其他服务器只能在登录到跳板机后才能连接得上。但如果开发或者调试时,需要直接从外部 SSH 登录进 IDC 中的某台服务器,就很麻烦了。好在 SSH 端口转发,这个功能正好可以解决上面提到的问题。

1. SSH 端口转发

所说的 SSH 端口转发 (port-forwarding),是指将远端服务器的端口和本地服务器上的某个端口进行绑定,这个功能一般都是用在代理服务器上,跳板机就刚好是这种情况,举例来说,假设 IDC 网络内有一台跳板机:内网地址为 192.168.1.2,同时有外网连接,还有一台只有内网的服务器 192.168.1.100。内网服务器 192.168.1.100 启动了一个 HTTP 服务,监听在 80 端口,但因为 192.168.1.100 只有内网连接,外部访问不到,那么可以使用 SSH 的端口转发,将 192.168.1.100 的 80 端口绑定到跳板机 192.168.1.2 的 80 端口上。

虽然听起来概念比较复杂,但实现起来非常简单,一条命令就搞定了。192.168.1.100 的 22 端口就绑定在了 192.168.1.2 的 40100 端口上。

# On 192.168.1.100
$ ssh -NfR 40100:localhost:22 192.168.1.2

最终的效果是如下两条命令是等价的,全都是登录到 192.168.1.100 上:

ssh -p 40100 192.168.1.2
ssh 192.168.1.100

2. 开放目标端口的外网映射

之前的步骤只是将跳板机的 40100 端口和 HTTP 服务器的 22 端口做了绑定,如果要能从外部访问,还是需要做跳板机上 40100 端口的外网映射才行。

3. 使用 systemd 配置开机自启动

好,现在已经实现了基本功能,但如果服务器重启,ssh 端口转发的命令就会失效。systemd 现在已经成了 Linux 启动和守护进程管理的标准,所以就写一个 systemd 的 service 文件来实现这个需求吧。service 文件内容如下:

$ cat ssh-port-forward.service 
[Unit]
Description=SSH port forward for to jump server 192.168.1.2's port 40100. 40100 is already mapped to public network. As a result, we can use this command to SSH login to this server: ssh -p 40100 -l haoweilai 100.168.1.2
After=sshd.service

[Service]
User=haoweilai
Group=haoweilai
ExecStart=/usr/bin/ssh -NR 40067:localhost:22 192.168.1.2
[Install]
WantedBy=multi-user.target
Alias=ssh-port-forward.service

将该文件放在目录 /lib/systemd/system 下。然后执行 systemd 的配置加载、命令启动和开机自启动命令:

$ sudo systemctl daemon-reload
$ sudo systemctl start ssh-port-forward.service
$ sudo systemctl enable ssh-port-forward.service

4. 参考文档


V小白 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:配置 SSH 端口转发,并设置开机启动
喜欢 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到
0个小伙伴在吐槽