三条命令助你快速实现SSH内网穿透

ssh 反向隧道相信大多数同学都比较了解，就算不了解也一定在日常工作中听说过，其实抛开那些专业的术语，通常我们借助 ssh 的反向隧道来实现两个网络隔离的主机间通信。最近小白在远程操作一个私有化的项目时正好用到了这个，简单总结了下便有了此文章。

在操作之前，我先将需要的资源列出一个表格，大家在操作前可以先按照如下准备资源：

这里为了操作方便机器全部用的 root 账号，大家不要学我

我的需求很简单，即客户内网 B 中有一批刚装完操作系统的服务器，我需要在公司或者家中的电脑上通过 Ansible Playbook 批量对这些机器进行初始化。

第一步：开启 ssh server 代理功能

在位于公网服务器上打开 sshd 的GatewayPorts开关，并重启sshd

sed-i"s/#GatewayPortsno/GatewayPortsyes/g"/etc/ssh/sshd_config
systemctlrestartssh

打开代理功能意味着，当我们在建立 ssh 反向隧道后，监听的地址会从默认的 127.0.0.1更换成 0.0.0.0，方便 ssh 客户端远程登录。

第二步：建立 ssh 反向隧道

在客户内网B中找一台能访问 121.41.218.68 地址的服务器，登录上去，并在终端内执行下述命令：

ssh-lroot-p22-qngfNTR882222121.41.218.68-oServerAliveInterval=10

这一步的关键信息其实就是在主机 B 和主机 A 之间建立一条 SSH 隧道，隧道端口的映射关系是主机B:22 <--> 主机A:8822

之所以加上 ServerAliveInterval=10，是让客户端每 10s 发送一个心跳保持隧道的链接，否则这条连接很容易被重置。

第三步：本地 ssh client 代理

目前有了 ssh 的隧道也只能满足我本地主机 C 能通过 121.41.218.68 的 8822 端口 ssh登录到客户内网的 B 主机，还不能满足我进行批量运行任务的需求。

此时，我们就需要在自己电脑上配置 ssh 客户端的 socket 代理来满足需求，配置位于～/.ssh/config

hosthosta
HostName121.41.218.68
Port8822
Userroot

host10.155.0.*
Userroot
Port22
ProxyCommandsshhosta-W%h:%p

至此，我就可以在本地用 ansible-playbook 无缝的进行操作了。

总结

上述 3 步是整个 ssh 内网穿透的核心流程，如果要做得更加的优雅的话，我们还需要考虑几点优化：

为三台机器上的 ssh 客户端分别配置公私钥

为主机 B 上的 ssh 方向隧道创建服务进程，避免重启后隧道丢失

尽量保证公网主机 A 的网络安全，可单独为隧道端口配置防火墙策略

当然，ssh 反向隧道除了能代理 ssh 服务外，它也能对内网的其他服务做 socket 转发，这里本文就不再展开。总之，建立 SSH 反向隧道这种事情大多数情况都是迫于无奈的临时选择，我们在用完后要及时释放连接，避免长期闲置被不法分子盯上后带来的损失。

审核编辑：汤梓红