用ssh打通反向隧道，内网也可对外提供服务

一般正规一点的网络环境，大多是这样的：防火墙后分为内网和中立区（DMZ），并且内网和DMZ虽然都能访问外网，互相却是无法直接访问的。内网和DMZ的区别就是，来自外网的访问，都通过防火墙上的规则映射到DMZ里的服务器上，而内网一般是不允许这样的。

现在需要解决的问题就是，在防火墙只能给DMZ开端口，内网和外网不可直接互访的情况下，如果让内网的机器对外提供服务。

ssh是很神奇的，使用它创建的隧道，可以起到代理的作用，数据流的方向是：

本机 -> 隧道 -> 外网 

应用到我们的问题中，如果把隧道反过来，就是：

外网 -> DMZ -> 隧道 -> 内网 

这就需要用到ssh的反向隧道，它在服务器上打开一个监听端口，这个端口的访问会被隧道传输到本地，结果再通过隧道传到服务器上，从监听端口返回给客户。这样，在我们的应用中，内网机器通过外网访问DMZ服务器，创建ssh反向隧道，就能够对外提供服务了。当然，防火墙上要将相应端口映射到DMZ的服务器上。

比如，在内网登录DMZ服务器：

ssh -R 8082:localhost:82 fwolf@svr5.tld -o ControlPath=/tmp/ssh_svr5_reverse_tunnel 

这样，访问DMZ服务器svr5的8082端口，就是在访问本机的82端口。之所以带上-o ControlPath，是为了和其它访问svr5的进程使用不同的master模式（如果不是第一次创建这个master，而是使用了原来的连接的sockts，肯定就不会创建隧道了）。

有几个问题还需要注意一下：

• 如果DMZ上监听端口小于1000的话，就必须用root用户登录DMZ服务器，比如root@svr5.tld。
• DMZ服务器上的sshd必须开启GatewayPorts选项，在文件/etc/ssh/sshd_config中加入GatewayPorts yes。
• 记得不要idle，参考中有在服务端设置的方法。
• 如果放在其它脚本，比如/etc/rc.local中执行的话，除了配置自动登录，还可以带上-fN参数，放到后台去。

参考

• TIP SSH Reverse Tunnel
• ssh reverse tunneling
• PuTTY 中文教程 作者：柴锋 2006年11月

More »

Tags: Internet, Linux, network, reverse, ssh, tips, tunnel

Related posts

• ssh的连接重用 (2)
• 选择Eclipse PHP Development Tools(PDT)作为PHP开发工具 (5)
• 用unison来同步你的远程文件夹 (2)
• 更安全的原因所在 (1)
• 你最希望在哪里看到TIPS？ (5)

Source: http://www.fwolf.com/blog/post/410