背景介绍:
目前,线上有好几个数据中心,不同数据中心之间的速度差异还是比较大的,我们一般选择一个最优的数据中心作为VPN的接入点。
但有些时候直接通过VPN访问其它数据中心的服务会很慢,于是就临时通过SSH Tunnel来解决。
应用场景:
直接访问服务器idc1-server1很快,但是直接访问idc2-server2很慢,而idc1-server1到idc2-server2却很快;
于是,我们打算用idc1-server1服务器作为跳板来连接idc2-server2。
ssh -i /path/to/sshkey -l username -f -N -T -L 8088:idc2-server2:80 idc1-server1
通过浏览器直接访问http://localhost:8088就相当于访问了http://idc2-server2
关键参数介绍:
-L 8088:idc2-server2:80
将本地的某个端口转发到远端指定机器的指定端口。工作原理是:本地机器上分配了一个socket侦听port端口,一旦这个端口上有了连接, 该连接就经过安全隧道(idc1-server1)转发出去,即
localhost:8088 -> (idc1-server1) -> idc2-server2:80;
ssh -i /path/to/sshkey -l username -f -N -T -L 2022:idc2-server2:22 idc1-server1
通过scp可以将文件通过idc1-server1中转后传送到idc2-server2中:
scp -i /path/to/sshkey -P 2022 upload_file_name.tgz dong@localhost:/path/to/upload/
假设
位于公网的客户端是10.66.0.78(当然事实上这是一个私网IP),
公司有一个暴露在公网的主机,公网IP是10.66.0.190(当然事实上这还是一个私网IP),公司私网的IP是192.168.200.20,
我在公司真正要登录的主机是192.168.200.100。
那么我可以做如下操作
方法1
在 10.66.0.190上执行
[root@dhcp-0-190 ~]# ssh -Nf -L 10.66.0.190:10000:localhost:22 192.168.200.100
方法2
a. 在10.66.0.190上修改配置文件/etc/ssh/sshd_config
开启
GatewayPorts yes
然后重新载入sshd配置
[root@dhcp-0-190 ~]# service sshd reload
Reloading sshd: [ OK ]
b. 然后在192.168.200.100上执行
[root@localhost ~]# ssh -Nf -R 10.66.0.190:10000:192.168.200.100:22 192.168.200.20
然后我们就可以在公网通过访问10.66.0.190:10000端口来连接192.168.200.100的22端口了。
安全因素
大家看我上面其中2条命令
# ssh -Nf -L 10000:localhost:80 209.132.177.100
# ssh -Nf -L 10.66.0.190:10000:localhost:22 192.168.200.100
再看下ssh tunnel用例
-L [bind_address:]port:host:hostport
bind_address默认是127.0.0.1
格式是
[要打开的监听IP:]要打开的监听端口:要映射到的监听IP:要隐射到的监听端口
为什么有时候用locahost,有时候用10.66.0.190?
如果说ssh tunnel打开的端口只需要给本机用到,那么就让端口只在回环接口监听,如果需要让别的机器共享ssh tunnel打开的端口,则需要让ssh在可访问的IP上打开端口了。
总之处处小心,设好安全权限,防止入侵。
Ssh tunnel通常能实现3种功能
1) 加密网络传输
2) 绕过防火墙
3) 让位于广域网的机器连接到局域网内的机器