ssh tunnel與從家中訪問公司內網機器

作者：張華  發表於：2012-03-08
版權宣告：可以任意轉載，轉載時請務必以超連結形式標明文章原始出處和作者資訊及本版權宣告

( http://blog.csdn.net/quqi99 )

            假設有這樣一個需求，需要從家中訪問公司內網機器，可以用ssh遂道技術來作轉發，遂道分正向遂道和反向遂道兩種，如果資料流向與ssh的順序（從 ssh client -> ssh server )相同即為正向遂道（用－L標識），如果資料流向與  ssh的順序相反即為反向遂道。下面直接上兩張圖來說明：

上面第一張圖是正向遂道，資料流向與ssh的順序（指ssh client -> ssh server)相同，即從192.168.1.1：80處監聽到請求資料之後，通過ssh遂道，最後轉發給了ssh server端6300埠去處理。

6300：192.168.1.1：80 都是前部分是ssh server, 後端分是ssh client

上面第二張圖是反向遂道，資料流向與ssh的順序(指ssh client -> ssh server)相反，即從ssh server端的6300埠監聽到資料之後，通過ssh遂道，最後轉給了192.168.1.1：8080

仔細想想上面兩張圖吧，下面直接上程式碼，從家中訪問公司內網的機器，必須在公司有一臺可以從家中訪問得到的跳轉機（例IP：10.10.10.10)，要訪問的內網機IP為192.168.1.1 。

1）如果用反向遂道實現的話，先修改ssh server的/etc/ssh/sshd_config中的GatewayPorts  yes, 重啟sshd,  /etc/init.d/sshd restart
ssh -R 8422:192.168.1.1:8422 -R 61616:192.168.1.1:61616  [email protected] -g -N -C -o TCPKeepAlive=yes

2) 如果用正向遂道的話，先修改ssh server的/etc/ssh/sshd_config中的AllowTcpForwarding true, 重啟sshd,  /etc/init.d/sshd restart
    接著要 ssh 登入到跳轉機上執行下列命令：

   如果報錯“open failed: administratively prohibited: open failed”，那是因為上面的localhost處應該是ssh client的IP

example:

https://9.123.100.152:8422/ibm/console/login.do?action=secure
/etc/ssh/sshd_config中修改GatewayPorts no為GatewayPorts yes  /etc/init.d/sshd restart
ssh -R 8422:9.125.13.30:8422 -R 61616:9.125.13.30:61616 -R 61617:9.125.13.30:61617 [email protected] -g -N -C -o TCPKeepAlive=yes -o GatewayPorts=yes -vvv

/etc/ssh/sshd_config, AllowTcpForwarding=true
open failed: administratively prohibited: open failed，如果出現這個錯誤是因為下面的沒有用localhost
ssh -L 8422:localhost:8422 -L 61616:localhost:61616 -L 61617:localhost:61617 [email protected] -g -N -C -o TCPKeepAlive=yes (需先登入到9.123.100.152這個跳轉機上執行）

上述的缺點就是,為每個埠都得開一個tunnel，所以可以通過ssh命令 -D 的引數( [地址:]埠 )，含義是在某個本地地址的某個埠上開SOCKS服務進行監聽，把這個埠的資料通訊以加密形式轉發到ssh的另一端。例如：我們翻牆的原理，要防牆必須國外有一臺ssh server

1) 首先，通過 ssh -lquqissh -N -D 7070 [email protected] , 如 s20.flyssh.net

2）在firefox中設定使用socket v5的埠代理，埠為7070 (選項選單裡的“高階”選項卡的“Network"子選項卡中設定Connection)

3)  如何仍然有問題，可在firefox的位址列輸入about:config 配置使用遠端DNS：network.proxy.socks_remote_dns=true

上面的翻牆有個缺點，就是你訪問國內的網站它也會用代理，這樣就慢啊，所以你也可用autoproxy外掛選擇僅在訪問某些站點的使用指定代理，哪些不用代理

原理如下：比如firefox現在要訪問www.163.com，firefox先將請求資料轉給socket代理埠7070, 然後通過ssh遂道，最後由國外的ssh server主機去根據遠端的DNS訪問www.163.com

但上述需要應用程式支援socket代理，但有的程式不支援怎麼辦，可以用透明tsocks, 它能讓普通程式也走sock代理，在yum install tsocks安裝後，修改配置檔案/etc/tsocks.conf，可以在樣本檔案tsocks.conf.sample的基礎上修改，通常只要配置server = 127.0.0.1即可，其他都可以預設。例如svn服務，再用ssh -D 1080 -f -N 使用者名稱@公司伺服器的公網地址 在本機的1080埠開啟SOCKS服務；然後按照你平時使用svn的習慣，只是在命令前加上tsocks，類似這樣: tsocks svn up 或者 tsocks svn ci -m 'aaaa' 等等即可。

如果是http代理，用squid，安裝後修改配置

sudo vim /etc/squid/squid.conf
http_access allow localnet
http_access allow all

# And finally deny all other access to this proxy
#http_access deny all

# Squid normally listens to port 3128
http_port 21

sudo service squid start

使用時，

１）在shell中，匯入http_proxy=http://<httpproxyIP>:21環境變數，然後wget www.g.cn
2）yum源中使用代理，vim /etc/yum.conf
     proxy=http://<httpproxyIP>:21
     然後 sudo yum install git

2014-08-05新增：

要實現ssh自動跳轉非常簡單，在 ~/.ssh/config

Host server-*
    User ubuntu
    IdentityFile ~/.stack/myssh.key
    ProxyCommand ssh [email protected]<forward-machine> nc -q0 %h.stack %p

SSHebang就是一個這樣自動分發如上配置的工具

2016-01-17

反向代理還有妙用，這周家裡的寬頻換成了聯通的寬頻，路由器那兒沒有了公用IP，取而代之的是運營商私網IP，這樣經過家中路由器的DNAT均會失效（因為運營商那兒有狀態防火牆）。但花生殼會有效，因為花生殼客戶端會建立一個從家裡到花生殼伺服器（有公網IP）的TCP連線，這樣運營商那兒便會做一個DNAT連線。我現在雖然家裡的路由器沒有了公網IP，但我在美國仍然有有公網IP的虛機。那麼可以這樣：

ssh -R 2222:192.168.99.124:22 -R 8080:192.168.99.122:8080 -i ~/zhhuabj_lcy01.pem [email protected]<public-ip>  -g -N -C -o TCPKeepAlive=yes -o GatewayPorts=yes -vvv
ssh -i ~/zhhuabj_lcy01.pem [email protected]<public-ip>  && ssh -p 2222 [email protected]

但上面只能通過locahost訪問，如果想不用localhost訪問，我們可以：

[email protected]:~$ cat /etc/ssh/sshd_config |grep GatewayPorts
GatewayPorts yes
[email protected]:~$ sudo restart ssh
ssh start/running, process 3072

然後使用：

ssh -R 0.0.0.0:2222:192.168.99.124:22 -R 0.0.0.0:8081:192.168.99.1:80 -R 0.0.0.0:8080:192.168.99.122:8080 -i ~/zhhuabj_lcy01.pem [email protected]<public-ip> -g -N -C -o TCPKeepAlive=yes  -vvv

別忘了將公網IP的相應埠的防火牆規則開啟。

一個autossh的指令碼如下：

[email protected]:~# cat /etc/init.d/iautossh 
#!/bin/sh
START=99
start() {
    autossh -M20000 -f -q -N -D 0.0.0.0:8082 [email protected]
    autossh -M20002 -R 0.0.0.0:2222:192.168.99.124:22 -R 0.0.0.0:8081:192.168.99.1:80 -R 0.0.0.0:8080:192.168.99.122:8080 [email protected] -g -N -C -o TCPKeepAlive=yes -f
}
stop() {
    killall autossh
}