ssh 反向隧道相信大多數(shù)同學都比較了解，就算不了解也一定在日常工作中聽說過，其實拋開那些專業(yè)的術(shù)語，通常我們借助 ssh 的反向隧道來實現(xiàn)兩個網(wǎng)絡(luò)隔離的主機間通信。最近小白在遠程操作一個私有化的項目時正好用到了這個，簡單總結(jié)了下便有了此文章。

在操作之前，我先將需要的資源列出一個表格，大家在操作前可以先按照如下準備資源：

•  這里為了操作方便機器全部用的 root 賬號，大家不要學我??
  

我的需求很簡單，即客戶內(nèi)網(wǎng) B 中有一批剛裝完操作系統(tǒng)的服務(wù)器，我需要在公司或者家中的電腦上通過 Ansible Playbook 批量對這些機器進行初始化。

第一步：開啟 ssh server 代理功能

在位于公網(wǎng)服務(wù)器上打開 sshd 的GatewayPorts開關(guān)，并重啟sshd

sed -i "s/#GatewayPorts no/GatewayPorts yes/g" /etc/ssh/sshd_config
systemctl restart ssh

打開代理功能意味著，當我們在建立 ssh 反向隧道后，監(jiān)聽的地址會從默認的 127.0.0.1更換成 0.0.0.0，方便 ssh 客戶端遠程登錄。

第二步：建立 ssh 反向隧道

在客戶內(nèi)網(wǎng)B中找一臺能訪問 121.41.218.68 地址的服務(wù)器，登錄上去，并在終端內(nèi)執(zhí)行下述命令：

ssh -lroot -p22 -qngfNTR 8822:localhost:22 121.41.218.68 -o ServerAliveInterval=10

這一步的關(guān)鍵信息其實就是在主機 B 和主機 A 之間建立一條 SSH 隧道，隧道端口的映射關(guān)系是主機B:22 <--> 主機A:8822

之所以加上 ServerAliveInterval=10，是讓客戶端每 10s 發(fā)送一個心跳保持隧道的鏈接，否則這條連接很容易被重置。

第三步：本地 ssh client 代理

目前有了 ssh 的隧道也只能滿足我本地主機 C 能通過 121.41.218.68 的 8822 端口 ssh登錄到客戶內(nèi)網(wǎng)的 B 主機，還不能滿足我進行批量運行任務(wù)的需求。

此時，我們就需要在自己電腦上配置 ssh 客戶端的 socket 代理來滿足需求，配置位于～/.ssh/config

host hosta
   HostName 121.41.218.68
   Port 8822
   User root
host 10.155.0.*
   User root
   Port 22
   ProxyCommand ssh hosta -W %h:%p

至此，我就可以在本地用 ansible-playbook 無縫的進行操作了。

總結(jié)

上述 3 步是整個 ssh 內(nèi)網(wǎng)穿透的核心流程，如果要做得更加的優(yōu)雅的話，我們還需要考慮幾點優(yōu)化：

•  為三臺機器上的 ssh 客戶端分別配置公私鑰
  
•  為主機 B 上的 ssh 方向隧道創(chuàng)建服務(wù)進程，避免重啟后隧道丟失
  
•  盡量保證公網(wǎng)主機 A 的網(wǎng)絡(luò)安全，可單獨為隧道端口配置防火墻策略
  

當然，ssh 反向隧道除了能代理 ssh 服務(wù)外，它也能對內(nèi)網(wǎng)的其他服務(wù)做 socket 轉(zhuǎn)發(fā)，這里本文就不再展開。總之，建立 SSH 反向隧道這種事情大多數(shù)情況都是迫于無奈的臨時選擇，我們在用完后要及時釋放連接，避免長期閑置被不法分子盯上后帶來的損失。