利用ssh反向代理访问内网-跳板机

最新推荐文章于 2025-04-08 21:11:34 发布
最新推荐文章于 2025-04-08 21:11:34 发布
阅读量3.1k 收藏 6
点赞数 2
分类专栏: SSH 文章标签: ssh autossh 跳板机 代理 内网服务器
本文为博主原创文章,未经博主允许不得转载。
本文链接:https://blog.csdn.net/jeff_/article/details/95535185
版权
博客介绍了通过将外网服务器搭建为跳板机,实现其他电脑通过外网服务器访问内网服务器或进行ssh远程控制的方法。给出了内网和外网服务器的使用命令,解释了原理,还说明了如何让命令开机自动生效,同时指出ssh反向链接不稳定,autossh可自动重连。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

背景

内网服务器A(192.168.100.100)无法访问外网,现有外网服务器B(1.2.3.4),想通过B来访问A,即通过将外网服务器B搭建为跳板机,使得其他电脑可以通过B来访问A,或者ssh远程控制A

使用命令
# 反向代理(推荐autossh)
ssh -fCNR remote_ip:remote_port:local_ip:local_port remote_user@remote_ip
-f 后台执行ssh指令
-C 允许压缩数据
-N 不执行远程指令
-R 将远程主机(服务器)的某个端口转发到本地端指定机器的指定端口
-L 将本地机(客户机)的某个端口转发到远端指定机器的指定端口
-p 指定远程主机的端口

autossh -M monitor_port -fCNR remote_ip:remote_port:local_ip:local_port remote_user@remote_ip
-M 指定心跳端口,用来发送echo数据,+1的端口来接收

# 正向代理
ssh -fCNL bind_ip:bind_port:local_ip:local_port local_user@local_ip
内网服务器(反向)
# ssh秘钥的密码设置为空的话,就可以实现完全脚本自动启动
# 需要提前将秘钥ssh-copy-id到外网服务器
autossh -M 40230 -fCNR  10022:192.168.100.100:22 kube@1.2.3.4 -i /root/.ssh/100_key
外网服务器(正向)
ssh -fCNL *:2233:127.0.0.1:10022 kube@127.0.0.1
验证
# 在其他机器上通过ssh访问内网服务器A,需要输入内网用户的密码
ssh -p 2233 root@1.2.3.4
原理

外网服务器的ssh命令表示:所有发送到1.2.3.4:2233的流量会转发到1.2.3.4:10022上
内网服务器的ssh命令表示:所有发送到1.2.3.4:10022上的流量转发到内网的22端口上

开机自动生效

将命令加入到/etc/rc.d/rc.local即可

备注

ssh反向链接不稳定,超时会断开连接
autossh断开后,会自动重连

[隧道代理] 隧道代理 — 端口转发 - SSH 端口转发
Blue17 の 小窝
02-11 2168
SSH(Secure Shell)是一种加密的网络协议,用于在不安全的网络中安全地执行远程登录、命令执行和文件传输等操作。SSH 工具是用于实现 SSH 协议的客户端或服务端软件,SSH 工具可以对客户端和服务端之间的数据传输进行压缩和加密,有身份验证、SCP、SFTP 和端口转发等功能。参数含义-C请求压缩所有数据-D动态转发、即 Socks 代理-f后台执行 SSH 命令-g允许远程主连接主的转发端口-L本地转发-N不执行远程指令,处于等待状态-R远程转发。
SSH反向代理
小树他爹
10-09 1043
应用场景相信很多同学会遇到这样的场景:公司的办公器处于内网环境,家里的电脑也处于内网环境,有时公司有急事,人又不便立马赶去公司,这时SSH反向代理就能派上用场。下面介绍一种SSH反向代理解决方案,在Ubuntu14.04 LTS环境中实验成功。器情况 器号 IP 用户名 备注 A A.A.A.A user_a 代理服务器,在外网,无法访问A/B B B.B
通过阿里云跳板实现内网SSH反向代理
MecHub
12-30 2190
我有一台工作站(以下称之为WS)连接在华为4G 路由器B315 上,运营商并没有分配公网ip,因此从公网到这台电脑经历了两层NAT,一层是运营商的,一层是华为路由器的。 我租用了一台有弹性公网ip的阿里云服务器(以下称之为ALY),假设它的公网ip为ali.yun.srv.ip,阿里云默认的安全组开放了tcp访问端口3389。 通过在工作站上设置SSH反向代理,可以通过家里的笔记本(以下成为PC)...
SSH反向代理实现内网访问
weixin_37558119的博客
05-17 519
SSH方向代理实现内网访问前提1、外网服务设置2、内网服务设置反向代理监听 前提 外网IP开通端口8083,内网监听此端口流量做到内网穿透 1、外网服务设置 打开 /etc/ssh/sshd_config,将GatewayPorts参数设为yes,然后重启sshd服务: systemctl restart sshd.service 2、内网服务设置反向代理监听 ServerAliveInterval=60保持存活,9000为内网端口可用作nginx端口 ssh -fCNR 0.0.0.0:8083:127.
Termius+ Proxifer --- 通过跳板访问内网
最新发布
谬也的博客
04-08 577
记录借助Termius+ Proxifer代理流量到跳板访问内网的配置过程
SSH 反向代理
weixin_33777877的博客
03-29 397
SSH反向代理 被控制端没有NAT或者没有静态公网IP,把本端一台服务器映射到外网给远端SSH进来,建立SSH反向隧道。 先映射本端器到外网 nat server 2222to22 protocol TCP global 1.2.4.8 22 inside 10.10.10.10 22 no-reverse​ 被控端发起连接 ssh -fCNR 8822:localhost:22...
ssh外网访问内网服务器
芒果干的博客
11-25 2898
现在有这样一个情况,实验室有自己的服务器内网),并且有相关老师进行维护(公网),我们可以在内网内网ip访问服务器,如果我们在家里只能通过公网进行登录。但是我在实验室有一个小服务器内网),如果我在家里就没法连接了,因为相关老师不会维护我的小服务器将其映射到公网现有:内网服务器A,公网服务器B以及家里的电脑C,其中本地无法连接内网,但是本地和内网都可以连接公网目的:本地也可以连接内网解决:使用ssh反向隧道,将内网的端口反向代理到公网上。这样我们可以本地访问公网,然后用ssh隧道访问内网了。
ssh反向代理实现内网穿透
小晓晓晓林的博客
12-23 3558
​​​  为了安全起见,公司或者是学校的服务器一般只允许用户在局域网内登录,离开内网环境后就没法登录服务器,特别不方便。但是在某些情况下,我们又想和服务器进行通信的话,就需要借助端口转发来达到目的。   ssh是一种安全的传输协议,通常我们会用在连接服务器上比较多。不过除了这个功能以外,ssh的隧道转发功能更吸引人。 ssh常用命令参数 -C 请求压缩所有数据 -f 告诉s...
利用SSH代理实现远程登录与跳板访问
#### 1.1 什么是SSH代理 SSH代理是一种安全的网络协议,用于通过安全的加密通道在本地和远程服务器之间进行通信。它可以提供安全的远程访问、数据传输和隧道传输,并能够绕过网络防火墙。 #### 1.2 SSH的工作原理 ...
代理内网穿透-Lcx.exe-venom-proxychains
代码审计
04-24 7858
代理面试常问一.概述代理的本质是socks协议
教你如何『SSH』远程连接『内网服务器
瓦罗兰特顶级C位的博客
02-05 3775
最近博主实验室要搬家,因为服务器只有连接内网才能使用,所以搬走之后就无法在公网连接使用服务器,确实是让人非常苦恼,所以本文将会主要讲解如何使用公网服务器 SSH 连接内网服务器
深入理解正向代理反向代理
EagleTech Game Studio
08-06 1291
深入浅出的介绍正向代理反向代理
SSH反向代理使用
weixin_41038905的博客
02-09 5523
SSH反向代理 先说说什么是代理,源服务器由于各种原因无法访问目标服务器提供的服务,但是存在一个agent服务器,源服务器可以访问它,它可以访问目标服务器,那么源服务器的消息发给他,它在把请求转发给目标服务器,就间接的实现了源服务器访问目标服务器的目的。 这就是代理,也是一般所说的正向代理,正向代理一般是代理客户端(源服务器,信息的请求者)。这时候,在公网上发送的信息的请求者就是代理服务器的身份,而不是真正客户端的身份。好处显而易见,隐藏客户端的身份。 反向代理 百度百科:当一个代理服务器能够代理外部网络
两种特定网络环境下,如何实现外网SSH访问内网LINUX主
asdaddsd的博客
06-28 2185
因为公网IP是在路由器上的,外网访问时,需要经过路由,需要在路由器上做端口映射,将内网LINUX服务器访问22端口打通。明确LINUX服务器内网访问地址端口,确保LINUX服务器正常开启SSH服务,在内网SSH可以正常访问连接。快解析内网穿透的原理是通过云服务器内网服务器建立连接,把内网端口映射到云端,以此实现各类局域网服务基于域名的互联网访问,整个过程不保留用户数据信息,核心数据仍保存在。动态域名解析,将域名实时固定解析到路由公网IP,然后在路由器上做SSH访问端口的映射。使用自己的帐号登录。
通过 SSH 端口转发配置实现跳板代理
某呆
02-14 3790
SSH开启端口转发需要修改 /etc/ssh/sshd_config配置文件,将 GatewayPorts修改为yes 参数解释: -f 后台执行ssh指令 -C 允许压缩数据 -N 不执行远程指令 -R 将远程主(服务器)的某个端口转发到本地端指定器的指定端口 -L 本地端口转发 -D 动态端口转发 简版:本地端口转发(相当于正向代理),本地监听16379端口,将16379端口的流量都转发给6379端口 ssh -fCNL *:16379:localhost:6379 localhost SSH
通过堡垒连接内网服务器
weixin_34166472的博客
09-20 3854
堡垒简要说明: * 真正的服务器不允许 ssh 直接连接,需要通过堡垒进行连接 * 堡垒只允许建立隧道,不能登录系统 * 连接真实服务器的网络拓扑: 1. SSH Client -> Castle (make local tunnel) 2. SSh Client -> local tunnel -> Real Server 堡垒信息: 主: ...
堡垒
hqmln的博客
11-04 610
“堡垒”是一种通俗的叫法,它是一款硬件设备,是服务器、数据库、网络设备的统一登录管控平台 堡垒是一种IT设备,集帐号管理、授权管理、认证管理和综合审计于一体,为企业提供统一框架,整合企业应用系统、网络设备、主系统。 堡垒来源于企事业单位服务器管理中的实际需求,有些单位的网络中心,部署了大量的服务器,Windows、UNIX、Linux等操作系统均有,服务器可能安装有数据库或者业务系统;这些...
Linux使用AutoSSH内网穿透
菜鸡也有大佬梦
09-17 1316
配置公网的服务器 修改ssh配置文件 vi /etc/ssh/sshd_config #连接相关配置 GatewayPorts yes # 是否允许远程主连接本地的转发端口 TcpKeepAlive yes # 是否保持连接 ClientAliveInterval 30 # 心跳发送间隔 ClientAliveCountMax 5 # 心跳发送最大失败次数 配置内网服务器 1、配置免密登录公网的服务器ssh-keygen生成密钥 ssh-keygen # 这里填写的路径是最终生成密钥的路径,
我不在局域网内,想访问局域网内的所有服务
02-22
<think>好的,用户之前问过在没有公网IP的情况下使用代理服务器的问题,现在他问的是不在局域网内,想访问局域网内的所有服务。我需要根据之前的回答来扩展,同时考虑用户可能的需求和背景。 首先,用户可能是一个普通用户,没有太多网络知识,所以需要简单明了的解决方案。他们可能想远程访问家里的设备,比如NAS、摄像头或者内部网站,但缺乏公网IP,所以需要内网穿透或者代理的方法。 回顾之前的回答,我提到了代理服务器内网穿透工具、云服务器跳板等方法。现在需要针对访问所有服务的情况,可能需要更全面的解决方案,比如VPN或者更灵活的内网穿透工具。 可能的解决方案包括: 1. VPN(如OpenVPN、WireGuard):用户需要设置VPN服务器,这样连接到VPN后,可以像在局域网内一样访问所有服务。但需要公网服务器或者使用内网穿透工具来暴露VPN服务。 2. 内网穿透工具(如frp、ngrok、ZeroTier):这些工具可以将局域网内的服务映射到公网,或者创建虚拟网络,让远程设备加入。ZeroTier可能更适合,因为它创建虚拟局域网,用户直接加入即可访问所有服务,不需要单独映射每个端口。 3. 云服务器作为跳板:在云服务器上设置反向代理,将所有流量转发到内网,可能需要配置多个端口或使用动态DNS。 4. 使用SSH隧道:通过SSH动态端口转发或端口转发,临时访问内网服务,但可能需要配置多个端口,不够方便。 需要比较这些方案的优缺点,考虑易用性、成本、安全性。用户可能希望简单且免费,所以ZeroTier或Tailscale这样的工具可能更合适,因为它们设置简单,不需要公网IP,且免费层足够个人使用。 另外,用户可能关心安全性,需要提醒使用加密协议,避免暴露服务到公网的风险。同时,合规性方面,某些工具可能在某些地区被限制,需要注意。 最后,总结推荐方案,根据用户的技术能力和需求,给出最合适的建议。比如,技术能力强的用户可以用frp或自建VPN,普通用户推荐ZeroTier或Tailscale。</think>如果你不在局域网内,但想访问局域网内的所有服务(如文件共享、内部网站、NAS、摄像头等),可以通过以下方案实现远程访问。以下是具体方法及工具推荐: --- ### **一、核心思路** 1. **穿透内网边界**:通过代理、VPN 或虚拟网络技术将外部设备与局域网连接。 2. **暴露服务到公网**:将局域网内的服务映射到公网服务器,或直接建立加密隧道访问--- ### **二、具体方案与工具** #### **1. 使用 VPN(推荐长期使用)** 通过 VPN 连接到局域网后,你的设备会像在局域网内部一样访问所有服务。 - **适用场景**:需要稳定、完整访问所有内网服务。 - **工具推荐**: - **WireGuard**:轻量、高性能,适合家庭网络。 - **OpenVPN**:兼容性强,支持复杂网络环境。 - **Tailscale**(基于 WireGuard):无需公网 IP,自动组网,简单易用。 **步骤(以 Tailscale 为例)**: 1. **在内网设备安装 Tailscale**: ```bash # 在局域网内的设备(如 NAS、PC)执行 curl -fsSL https://tailscale.com/install.sh | sh tailscale up ``` 2. **在远程设备安装 Tailscale**: - 下载客户端(支持 Windows/macOS/iOS/Android)并登录同一账号。 3. **直接访问内网服务**: - 远程设备通过 Tailscale 分配的虚拟 IP(如 `100.x.x.x`)访问内网服务(如 `http://100.x.x.x:8080`)。 **优点**: - 无需公网 IP,自动穿透 NAT。 - 加密通信,安全性高。 - 支持多设备跨平台。 --- #### **2. 内网穿透工具(推荐临时使用)** 将内网服务映射到公网,通过公网地址访问- **适用场景**:临时访问、无需长期连接。 - **工具推荐**: - **frp**:开源,支持 TCP/UDP,需自备云服务器- **Ngrok**:免费版支持 HTTP/TCP,适合简单场景。 - **Cloudflare Tunnel**:免费,无需公网 IP,支持 HTTPS。 **步骤(以 Cloudflare Tunnel 为例)**: 1. **在内网设备安装 `cloudflared`**: ```bash # Linux 安装 wget https://github.com/cloudflare/cloudflared/releases/latest/download/cloudflared-linux-amd64 chmod +x cloudflared-linux-amd64 ``` 2. **创建隧道并映射服务**: ```bash ./cloudflared-linux-amd64 tunnel create my-tunnel # 将内网的 192.168.1.100:80 映射到公网域名 ./cloudflared-linux-amd64 tunnel route dns my-tunnel my-service.your-domain.com ./cloudflared-linux-amd64 tunnel run my-tunnel ``` 3. **通过域名访问**: - 访问 `https://my-service.your-domain.com` 即可穿透到内网服务。 **优点**: - 免费,无需公网 IP。 - 自动配置 HTTPS 证书。 --- #### **3. 虚拟局域网工具(推荐轻量级)** 通过虚拟网络将远程设备加入“局域网”。 - **工具推荐**: - **ZeroTier**:创建虚拟局域网,支持全平台。 - **Hamachi**:商业工具,界面友好。 **步骤(以 ZeroTier 为例)**: 1. **注册 ZeroTier 账号**,创建一个虚拟网络(Network ID)。 2. **在内网设备安装 ZeroTier**: ```bash # Linux curl -s https://install.zerotier.com | sudo bash zerotier-cli join <Network-ID> ``` 3. **在远程设备安装 ZeroTier**,加入同一 Network ID。 4. **在 ZeroTier 控制台授权设备**,分配虚拟 IP。 5. **直接通过虚拟 IP 访问内网服务**(如 `192.168.192.x`)。 **优点**: - 无需配置端口转发。 - 支持跨运营商和复杂网络环境。 --- #### **4. SSH 隧道(适合技术用户)** 通过 SSH 动态转发或端口转发访问内网- **适用场景**:临时访问少量服务。 - **示例命令**: ```bash # 动态端口转发(SOCKS5 代理ssh -D 1080 user@公网跳板IP # 端口转发(将内网 192.168.1.100:80 映射到本地 8080 端口) ssh -L 8080:192.168.1.100:80 user@公网跳板IP ``` - **使用**: - 浏览器设置 SOCKS5 代理 `127.0.0.1:1080` 访问所有内网服务。 - 直接访问 `http://localhost:8080` 访问内网网站。 --- ### **三、方案对比** | 方案 | 适合场景 | 优点 | 缺点 | |---------------------|--------------------------|-------------------------------|-------------------------------| | **VPN (Tailscale)** | 长期、多设备访问 | 全流量加密,无需配置 | 依赖第三方工具(如 Tailscale)| | **Cloudflare Tunnel**| 暴露 Web 服务到公网 | 免费,自动 HTTPS | 仅支持 HTTP/TCP | | **ZeroTier** | 虚拟局域网内全服务访问 | 无需公网 IP,跨平台 | 需客户端安装 | | **SSH 隧道** | 临时、技术用户 | 无需额外工具,灵活 | 仅支持 TCP,配置复杂 | --- ### **四、注意事项** 1. **安全性**: - 避免直接暴露内网服务到公网(如用 Cloudflare Tunnel 替代直接端口映射)。 - 使用 VPN 或 TLS 加密(如 HTTPS)保护通信。 2. **性能**: - 跨国流量可能延迟较高(优先选择靠近你的服务器或 CDN)。 3. **合规性**: - 部分工具可能被网络防火墙拦截(如 ZeroTier 需开放 UDP 9993 端口)。 --- ### **五、最终建议** - **小白用户**:直接使用 **Tailscale** 或 **ZeroTier**,5 分钟完成配置。 - **Web 服务暴露**:选择 **Cloudflare Tunnel**,免费且安全。 - **技术极客**:自建 **WireGuard VPN** 或通过 **SSH 隧道** 精细控制。 根据你的需求选择方案,即可实现从外网无缝访问内网所有服务。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

cnzf1

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值