ssh tunnel与从家中访问内网机器_quqi99的博客-程序员信息网

技术标签: server  firefox  ssh  socket  OpenStack Networking  network  

                                                                                      ssh tunnel与从家中访问公司内网机器

                                                                                                                    

作者:张华  发表于:2012-03-08
版权声明:可以任意转载,转载时请务必以超链接形式标明文章原始出处和作者信息及本版权声明

( http://blog.csdn.net/quqi99 )

             

            假设有这样一个需求,需要从家中访问公司内网机器,可以用ssh遂道技术来作转发,遂道分正向遂道和反向遂道两种,如果数据流向与ssh的顺序(从 ssh client -> ssh server )相同即为正向遂道(用-L标识),如果数据流向与  ssh的顺序相反即为反向遂道。下面直接上两张图来说明:

上面第一张图是正向遂道,数据流向与ssh的顺序(指ssh client -> ssh server)相同,即从192.168.1.1:80处监听到请求数据之后,通过ssh遂道,最后转发给了ssh server端6300端口去处理。

6300:192.168.1.1:80 都是前部分是ssh server, 后端分是ssh client



上面第二张图是反向遂道,数据流向与ssh的顺序(指ssh client -> ssh server)相反,即从ssh server端的6300端口监听到数据之后,通过ssh遂道,最后转给了192.168.1.1:8080


仔细想想上面两张图吧,下面直接上代码,从家中访问公司内网的机器,必须在公司有一台可以从家中访问得到的跳转机(例IP:10.10.10.10),要访问的内网机IP为192.168.1.1 。

1)如果用反向遂道实现的话,先修改ssh server的/etc/ssh/sshd_config中的GatewayPorts  yes, 重启sshd,  /etc/init.d/sshd restart
ssh -R 8422:192.168.1.1:8422 -R 61616:192.168.1.1:61616  [email protected] -g -N -C -o TCPKeepAlive=yes

2) 如果用正向遂道的话,先修改ssh server的/etc/ssh/sshd_config中的AllowTcpForwarding true, 重启sshd,  /etc/init.d/sshd restart
    接着要 ssh 登录到跳转机上执行下列命令:
   ssh -L 8422:localhost:8422 -L 61616:localhost:61616  [email protected] -g -N -C -o TCPKeepAlive=yes

   如果报错“open failed: administratively prohibited: open failed”,那是因为上面的localhost处应该是ssh client的IP



example:

https://9.123.100.152:8422/ibm/console/login.do?action=secure
/etc/ssh/sshd_config中修改GatewayPorts no为GatewayPorts yes  /etc/init.d/sshd restart
ssh -R 8422:9.125.13.30:8422 -R 61616:9.125.13.30:61616 -R 61617:9.125.13.30:61617 [email protected] -g -N -C -o TCPKeepAlive=yes -o GatewayPorts=yes -vvv

/etc/ssh/sshd_config, AllowTcpForwarding=true
open failed: administratively prohibited: open failed,如果出现这个错误是因为下面的没有用localhost
ssh -L 8422:localhost:8422 -L 61616:localhost:61616 -L 61617:localhost:61617 [email protected] -g -N -C -o TCPKeepAlive=yes (需先登录到9.123.100.152这个跳转机上执行)


上述的缺点就是,为每个端口都得开一个tunnel,所以可以通过ssh命令 -D 的参数( [地址:]端口 ),含义是在某个本地地址的某个端口上开SOCKS服务进行监听,把这个端口的数据通信以加密形式转发到ssh的另一端。例如:我们翻墙的原理,要防墙必须国外有一台ssh server

1) 首先,通过 ssh -lquqissh -N -D 7070 [email protected] , 如 s20.flyssh.net

2)在firefox中设置使用socket v5的端口代理,端口为7070 (选项菜单里的“高级”选项卡的“Network"子选项卡中设置Connection)

3)  如何仍然有问题,可在firefox的地址栏输入about:config 配置使用远程DNS:network.proxy.socks_remote_dns=true

上面的翻墙有个缺点,就是你访问国内的网站它也会用代理,这样就慢啊,所以你也可用autoproxy插件选择仅在访问某些站点的使用指定代理,哪些不用代理

原理如下:比如firefox现在要访问www.163.com,firefox先将请求数据转给socket代理端口7070, 然后通过ssh遂道,最后由国外的ssh server主机去根据远程的DNS访问www.163.com


但上述需要应用程序支持socket代理,但有的程序不支持怎么办,可以用透明tsocks, 它能让普通程序也走sock代理,在yum install tsocks安装后,修改配置文件/etc/tsocks.conf,可以在样本文件tsocks.conf.sample的基础上修改,通常只要配置server = 127.0.0.1即可,其他都可以默认。例如svn服务,再用ssh -D 1080 -f -N 用户名@公司服务器的公网地址 在本机的1080端口开启SOCKS服务;然后按照你平时使用svn的习惯,只是在命令前加上tsocks,类似这样: tsocks svn up 或者 tsocks svn ci -m 'aaaa' 等等即可。



如果是http代理,用squid,安装后修改配置

sudo vim /etc/squid/squid.conf
http_access allow localnet
http_access allow all

# And finally deny all other access to this proxy
#http_access deny all

# Squid normally listens to port 3128
http_port 21


sudo service squid start

使用时,

1)在shell中,导入http_proxy=http://<httpproxyIP>:21环境变量,然后wget www.g.cn
2)yum源中使用代理,vim /etc/yum.conf
     proxy=http://<httpproxyIP>:21
     然后 sudo yum install git



2014-08-05添加:

要实现ssh自动跳转非常简单,在  ~/.ssh/config

Host server-*
    User ubuntu
    IdentityFile ~/.stack/myssh.key
    ProxyCommand ssh [email protected]<forward-machine> nc -q0 %h.stack %p

SSHebang就是一个这样自动分发如上配置的工具


2016-01-17

反向代理还有妙用,这周家里的宽带换成了联通的宽带,路由器那儿没有了公用IP,取而代之的是运营商私网IP,这样经过家中路由器的DNAT均会失效(因为运营商那儿有状态防火墙)。但花生壳会有效,因为花生壳客户端会创建一个从家里到花生壳服务器(有公网IP)的TCP连接,这样运营商那儿便会做一个DNAT连接。我现在虽然家里的路由器没有了公网IP,但我在美国仍然有有公网IP的虚机。那么可以这样:

ssh -R 2222:192.168.99.124:22 -R 8080:192.168.99.122:8080 -i ~/zhhuabj_lcy01.pem [email protected]<public-ip>  -g -N -C -o TCPKeepAlive=yes -o GatewayPorts=yes -vvv
ssh -i ~/zhhuabj_lcy01.pem [email protected]<public-ip>  && ssh -p 2222 [email protected]

但上面只能通过locahost访问,如果想不用localhost访问,我们可以:

[email protected]:~$ cat /etc/ssh/sshd_config |grep GatewayPorts
GatewayPorts yes
[email protected]:~$ sudo restart ssh
ssh start/running, process 3072

然后使用:

ssh -R 0.0.0.0:2222:192.168.99.124:22 -R 0.0.0.0:8081:192.168.99.1:80 -R 0.0.0.0:8080:192.168.99.122:8080 -i ~/zhhuabj_lcy01.pem [email protected]<public-ip> -g -N -C -o TCPKeepAlive=yes  -vvv

别忘了将公网IP的相应端口的防火墙规则打开。

一个autossh的脚本如下:

[email protected]:~# cat /etc/init.d/iautossh 
#!/bin/sh
START=99
start() {
    autossh -M20000 -f -q -N -D 0.0.0.0:8082 [email protected]
    autossh -M20002 -R 0.0.0.0:2222:192.168.99.124:22 -R 0.0.0.0:8081:192.168.99.1:80 -R 0.0.0.0:8080:192.168.99.122:8080 [email protected] -g -N -C -o TCPKeepAlive=yes -f
}
stop() {
    killall autossh
}

版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/quqi99/article/details/7334617

智能推荐

R语言分类汇总_chengdehe的博客-程序员信息网_r语言分类汇总

R语言分类汇总##加载包library(dplyr)##函数 group_by 制定数据集 data 中针对 type 变量进行分类汇总grou &lt;- group_by(data,type)##summarise函数计算分类结果——sd 标准差,还可计算其他类,分类汇总type_sd &lt;- summarise(grou ,sd(range ,na.rm = T))dat...

Windows下 解决端口占用Error:listen EADDRINUSE_会飞的闲鱼的博客-程序员信息网

(一):根据端口找进程(端口我这里是8088)netstat -ano|findstr &quot;8088&quot;找到最后一列的数字就是 PID (二):杀死进程TSKILL 4836此刻你发现已经成功了(注意是在win运行命令下)...

java实现从实体到SQL语句的转换_Mr_Tank_的博客-程序员信息网_java实体转sql

使用过Hibernate,EF之类的ORM框架都知道一般的CRUD之类的简单操作,只要调用框架封装好了的方法,框架就自动生成相应的SQL语句了,参照实习公司给的代码,那个是C#版的,今天弄了一下java的,这里介绍怎么从实体转换为标准的Insert SQL语句

CC00017.NavigationLog——|OwnCloud网盘|_yanqi_vip的博客-程序员信息网

一、ownCloud简介### --- ownCloud简介~~~ ownCloud(官网)是一款开源的私有云框架,可以通过它实现个人网盘的功能,~~~ 如果拥有一个性能不错的VPS,那么就可以摆脱奇慢无比的百度云等网盘啦!~~~ 我花了大约一天的时间总算搭好了ownCloud。~~~ ownCloud提供了各个平台的文件同步客户端,~~~ 因此搭建好o...

双击.bat文件闪退_来个鸡蛋的博客-程序员信息网

因为我bat文件里引用了绝对路径,之后修改了文件名,导致和bat文件中的路径对应不上,修改路径以后成功执行bat文件

STEVAL-MKI109V3评估板 PART2 - LPS27HHW传感器接口_weixin_40239197的博客-程序员信息网

1. 传感器接口电路双列直插的传感器模块可以通过这个接口插入,数字信号是通过缓冲器中转的,例如GP,DEN等信号。2. 逻辑接口电路-1用于控制DEN,CS和GP信号,信号方向是从A-&gt;B,因此,OE=0,DIR1=1,DIR2=1.3. 逻辑接口电路-2中断信号INT1/2/3/4,传感器的输出信号,方向从B-&gt;A,因此OE=0,DIR_INT3_INT4=0。4. 逻辑接口电路-3I2C信号缓冲,因此OE=1...

随便推点

python3 TypeError: can only concatenate str (not "dict") to str_-九斤-的博客-程序员信息网

问题代码:url = 'http://localhost:84/#/admin/login'data = {}data['account'] = '123'data['password'] = '123123123.'# 将数据和url进行连接request = url+'?'+data问题原因:类型不兼容,不能强制组合解决方案:url = 'http://local...

python判断正数还是负数_PythonExcel如何知道出现负数和正数的次数(计数/频率)?..._weixin_39580042的博客-程序员信息网

使用两个计数器变量来跟踪总计数和阳性数。在开始时将它们设置为0,然后无论何时您想要添加1,在循环中使用+= 1。然后,通过去掉百分比符号,然后使用以下方法将字符串转换为数字,测试百分比是否大于0。if float(row[0].strip('%')) > 0。你可以将此更改为>=如果您想将0包含在“正”类别中。totalCount = 0numberOfPositives = 0with open...

Jimoshi_LDS-物流管理系统的路线管理系统增删改_Jimoshi_的博客-程序员信息网

Jimoshi成长经历:前面的笔记后面再慢慢整理-------方便自己目录:展示路线管理系统的数据、删除路线管理系统的数据、添加路线管理系统的数据、修改路线管理系统的数据LDS-物流管理系统的路线管理系统增删改一、展示路线管理系统的数据  1、编写route.jsp页面  代码示例:       pageEncoding="UTF-8"%> 

上下界网络流_weixin_30466421的博客-程序员信息网

目录 无源汇有上下界可行流 有源汇有上下界可行流 有源汇有上下界最大流 有源汇有上下界最小流 无源汇有上下界最小费用可行流 有源汇有上下界最小费用可行流 有源汇有上下界最小费用最大流 有源汇有上下界最小费用最小流 ...

Linux内核漏洞精准检测如何做?SCA工具不能只在软件层面_华为云开发者联盟的博客-程序员信息网

摘要:二进制SCA工具要想更好的辅助安全人员实现安全审计、降低漏洞检测的误报率,必须向更细颗粒度的检测维度发展,而不仅仅停留在开源软件的层面,同时对漏洞库的要求也需要向细颗粒度的精准信息提出的挑战。

吴恩达机器学习第十周测试_一叶知秋Autumn的博客-程序员信息网

第一题答案B分析:当代价函数呈上升趋势的时候,可以试着将学习率减小第二题答案CD分析:A:随机梯度下降并不能并行化,错误。B:批量梯度下降是在每一次迭代后计算代价函数,错误。C:在随机梯度下降算法执行之前,先要将样本打乱,正确。D:在大量数据样本的情况下,随机梯度下降要比批量梯度下降效率高,正确。第三题答案AD第四题答案CD第五题答案ACD...

推荐文章

热门文章

相关标签