最近在部署应用,涉及到内网的穿透和端口开放等知识,在此做个总结。
背景:现在有服务器A(位于内网中)、服务器B(外网可访问),现在需要实现外网的主机访问服务器A上的特定ip和port。
实现步骤:服务器A和服务器B开放防火墙端口,在服务器A(应用部署在服务器A上)上做ssh远程端口转发。
1、开放端口
ubuntu上有iptables和ufw(uncomplicated firewall)两种方法。
开放特定端口(服务器A和服务器B均需要设置):
1)iptables方法
iptables -I INPUT -p tcp --dport 9001 -j ACCEPT
-- -m指定扩展的类型,下面是扩展多个目的port
iptables -I INPUT -p tcp -m multiport --dport 9001,9002,9003 -j ACCEPT
iptables -I INPUT -p tcp -m multiport --dport 9001,9002,9003 -m state --state NEW -j ACCEPT-- 重启后,配置规则失效,需要再做下面一步
iptables-save-- 持久化规则
service iptables-persistent save2)ufw方法
sudo ufw status
sudo ufw allow 9001
sudo ufw allow 9001/tcp
sudo ufw delete allow 9001
查看防火墙规则是否已经保存:vi /etc/sysconfig/iptables
2、远程端口(SSH隧道技术)转发
服务器A的9001端口远程转发到服务器B的9002端口(应用访问服务器B的9002端口,相当于访问服务器A的9001端口)
在服务器A上输入:ssh -N -f -R localhost:9002:localhost:9001 服务器B用户名@服务器B的ip地址 -p 服务器B的Port
测试远程服务器上的端口是否开启:telnet ip port
3、相关知识点介绍
1)ssh和sshd的区别:ssh是openssh(用以开放对外的远程连接端口)的客户端,sshd是openssh的服务器端。
2)iptables、ufw、netfilter的区别:
ufw是iptables的一个前端,为简化iptables的ubuntu下的前端工具,即iptables是linux系统通用的,而ufw是ubuntu所特有的。
netfilter是位于os内核的包过滤模块,而iptables只是一个防火墙规则配置工具,iptables配置的规则最终通过netfilter才能实现。
下图是iptables和netfllter的关系图(摘自:)
3)ssh(应用层和传输层的服务)的动态端口转发、本地端口转发和远程端口转发的区别:
动态端口转发:
绑定本地端口,通过隧道将数据转发到远端的多个端口。通过配置socket proxy,在具体的网络请求时,将本地ip和本地port动态映射到实际请求的ip和port。
命令格式:ssh -D 本地地址:本地端口
本地端口转发:
ssh服务器端和app服务器端在同一服务器,将本地的端口映射到远程的ip和端口,即“访问本地端口,实际访问远程端口”。(外部先访问ssh客户端,连接到ssh服务器端,再访问ssh服务器端所在的服务器,进而访问到应用!)
命令格式:ssh -L 本地地址:本地端口 目标地址:目标端口 user_name@ssh服务器
说明:目标地址可以不是ssh服务器本身,也可以和ssh服务器同个局域网的其他地址。
远程端口转发:
ssh客户端和app服务器端在同一服务器,将远程的ip和端口映射为本地的端口,即“访问远程端口,实际访问本地端口”。(外部先访问ssh服务器端所在的服务器,在连接到ssh客户端所在的服务器,进而访问到应用!)
命令格式:ssh -R 远程地址:远程端口 目标地址:目标端口 user_name@ssh服务器
说明:目标地址也可以不是ssh服务器,也可以是和ssh客户端同个局域网的其他地址。
说明:本地端口转发和远程端口转发的效果一致,但是访问规则不一样:
本地地址转发:ssh客户端连接ssh服务器端,app客户端(即外部请求)访问ssh服务器端所在的局域网内的app服务。
远程地址转发:ssh客户端连接ssh服务器端,app客户端(即外部请求)访问ssh客户端所在的局域网内的app服务。
(都是在ssh客户端所在服务器输入ssh -R)
参考链接:
-- iptables的参数详细说明
iptables在各个linux下的具体使用
https://salogs.com/news/2015/08/20/iptables-save/
-- over --
