如果本地有公网ip,比如连接的宽带有公网ip,可以直接通过路由配置转发就行了,如果本地没有公网ip,那就需要通过下面这种方式来访问内网服务器了。
1:首先内网服务器需要连接外网,可以通过网线或者WiFi都可以。
2:准备三台服务,一台是内网服务器A,一台是阿里云公网服务器B(47.96.79.177),一台是其他可以访问外网的设备C
3:内网服务器A和公网服务器B互相同步密匙,准备内网服务器A密匙
#进入内网服务器A,执行下面命令
cd ~/.ssh 或者 cd /.ssh
#如果提示没用该目录,则需要生成该目录和下面的文件,直接在内网服务器A通过执行下面这个命令就可以了
ssh-keygen -t rsa (一直回车,无需配置密码)
#执行完成后,再次cd ~/.ssh,可以发现在该文件下面会出现id_rsa 和id_rsa.pub文件
4:开始同步密匙,配置A ssh到 B的免密登陆
#在内网服务器A执行同步密匙命令,该命令会要求输入外网服务密码,直接输入就行
#ssh-copy-id -i ~/.ssh/id_rsa.pub -p A的某远程端口 A的用户名@A的IP
#or
#ssh-copy-id -i .ssh/id_rsa.pub A的用户名@A的IP
#or
#ssh-copy-id A的用户名@A的IP
#or
#下面这一步是复制A的~/.ssh/id_rsa.pub内容到B的~/.ssh/authorized_keys中
ssh-copy-id -i ~/.ssh/id_rsa.pub -p 22 root@47.96.79.177
执行完成后,会在内网服务器A ~/.ssh/目录下出现known_hosts文件,里面是外网服务器的信息
同时此时登录到阿里云公网服务器B,也会在B服务器~/.ssh目录下看到authorized_keys文件,里面是内网服务器信息。
5:配置阿里云公网服务器B的ssh参数(尤其是AllowTcpForwarding yes 和 GatewayPorts yes
这2个要开启,其他参数可选配置)
vim /etc/ssh/sshd_config
#连接超时及转发相关:
GatewayPorts yes
TCPKeepAlive yes
ClientAliveInterval 60
ClientAliveCountMax 3
#证书相关:
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys
AllowTcpForwarding yes
(如修改参数,修改后重启ssh服务)
systemctl restart sshd
6:安装autossh
安装方式一
# 安装autossh
# CentOS
yum install -y autossh
# Ubuntu
apt install -y autossh
# 编译安装,安装方式二 官网:https://www.harding.motd.ca/autossh/
$ sudo yum install wget gcc make
$ wget http://www.harding.motd.ca/autossh/autossh-1.4e.tgz
$ tar -xf autossh-1.4e.tgz
$ cd autossh-1.4e
$ ./configure
$ make
$ sudo make install
make install
$ which autossh
/usr/local/bin/autossh
7:在内网服务器A执行命令进行端口转发(注意此处如果是阿里云这种云服务器,需要对监听的端口开通安全组)
autossh -M 0 -2 -4 -N root@47.96.79.177 -p 22 -o ServerAliveInterval=5 -o ServerAliveCountMax=3 -o StrictHostKeyChecking=no -o TCPKeepAlive=yes -R 0.0.0.0:22219:localhost:22 -R 0.0.0.0:22220:localhost:8082
该命令执行完成后,会在47.96.79.177上打开22219和22220监听,通过 netstat -anp|grep 22219命令查看22219端口监听情况,注意图1是AllowTcpForwarding yes 和 GatewayPorts yes这2个没用开启执行后的结果,图2是开启后执行的结果
图1
图2
图1这种只能在47.96.79.177本地通过ssh -p22219 root@localhost访问内网,图2已经可以在其他外网服务器C上通过命令ssh -p22219 root@47.96.79.177来访问内网服务器了
关于图1和图2访问不同得原因说明
一般通过netstat -anp|grep 端口查看端口监听信息,监听端口前面如果是127.0.0.1说明只能在该服务器本地访问,如果监听端口前面如果是0.0.0.0 说明可以在外部访问该服务器了