一.用ssh反向连接内网主机
前提:内网机器能访问外网机器,但是只有局域网IP
大意就是说可以通过ssh反向连接到内网主机(有防火墙的主机)
好,下面是步骤:
0. 在两侧都安装ssh
1. 在被控端运行
#这里的10000和22是端口号,也就是说,在主控端10000端口和被控端的22端口上建立了一个通道。如果主控端的ssh端口號不是默認的還要加 –p port參數
2. 在主控端运行
ssh username@localhost -p 10000
#username是你被控端的username,10000就是刚才的那个端口号。
二.SSH公钥(public key)验证
也就是如何不用密码的SSH登录… 本讲解适用于Client/Server都使用OpenSSH的情况(商业版SSH的key文件格式有所不同,这里的方法直接使用是无效的)。
目标: Client 免输密码ssh登录Server
SSH支持多种登录验证方式,我们默认使用的是键盘交互方式(keyboard- interactive),也就是手工输入密码的那种。这里我们要改成公钥(publickey)验证方式,并且设置passphrase为空,以达到免输密码登录的目的。
1. Client端:
cd ~/.ssh
#产生公钥文件(id_dsa.pub)和私钥文件(id_dsa), 类型DSA, 长度1024 bits
#注意询问passphrase的时候直接回车
ssh-keygen -t dsa -b 1024
#将公钥复制到远程主机去
scp id_dsa.pub Server:~/.ssh/id_dsa.pub.Client
2. Server端:
cd ~/.ssh
#将Client的公钥放入Server的信任列表
cat id_dsa.pub.Client >> authorized_keys
#更新权限,很重要
chmod 0600
#从此以后Client SSH登录Server就不要手工输入密码了。
三.备注 - SSH常见术语及对应的解释
SSH: 泛指SSH协议及软件产品
SSH-1: SSH协议第1版。
SSH-2: SSH协议第2版。
SSH1: 即最早的SSH-1协议的软件实现。现在由SSH Communications Security, Inc.维护。
SSH2: 即SSH Communications Security公司推出的商业版SSH-2协议的软件产品。该版本是收费的。(这也是开源社区开发OpenSSH的由来)
ssh(注意都是小写): SSH1, SSH2, OpenSSH, F-Secure SSH和其它SSH软件产品中包含的客户端程序。在SSH1和SSH2中,也有相应的别名ssh1, ssh2。
OpenSSH: OpenBSD项目实现的免费的兼容SSH-1和SSH-2协议的软件产品。
OpenSSH/1: 指代使用SSH-1协议的OpenSSH
OpenSSH/2: 指代使用SSH-2协议的OpenSSH
(source: “SSH, The Secure Shell: The Definitive Guide“(即”蜗牛书”), by Daniel J. Barrett and Richard E. Silverman, O’Reilly Media Inc., p6.)
SSH反向连接的使用
1、什么是反向连接?
反向连接是指主机A(受控端)主动连接主机B(控制端),在主机A和主机B之间建立一个远程连接,通过这个连
接主机B可以主动的向主机A发送一些请求。
2、为什么需要主机A主动去连接主机B呢?
这是因为主机A在局域网内,如果没有对主机A进行端口映射,对于主机B来说主机A是不可见的,如果在主机B这
边向主机A发送连接请求,这个请求是不可达的。而主机B有自己独立的IP,对于主机A来说是可见的,可以直接向
主机B请求连接。
3、SSH反向连接的过程
方法就是主机A主动去连接主机B,主机B响应主机A的连接请求,它们之间就建立了一个远程连接。然后主机B在
本地再创建一个本地连接,重定向到主机A和主机B刚才建立的远程连接上,之后对这个本地连接的操作都会反馈到
远程连接上去。整个过程类似于文件的DUP,这就在主机A和主机B之间建立了连接通道,此时对于主机B来说,主
机A已经是可见了。
连接流程如下:
3.1、主机A ssh客户端向主机B sshd服务端发送请求,建立远程连接。
3.2、主机B sshd服务端创建本地连接很远程连接的映射(反向连接通道)。
3.3、主机B ssh客户端向主机B sshd服务端的连接通道发送请求, 建立主机B ssh和主机A sshd的连接。
完成连接后,主机A对于主机B可见的形式就是存在于主机B的那个本地连接。
4、为什么需要在主机B对远程连接映射一个本地连接?
反向连接就是CS架构,不过是受控端主动向控制端请求连接,让它们之间的连接建立。传统的CS方式是可以解决
主机A和主机B之间的连接问题,但是那样主机A和主机B的连接方式并不灵活,两者之间能做的事情,只能是CS之际
协议规定的事情。在主机B上建立了主机A的连接映射后, 对于主机B来说主机A已经不是局域网内那台不可见的主
机,主机A已经是存在主机B的一台可见主机,这样就消除了局域网和广域网的阻碍。 主机A和主机B之间建立的那
个远程连接就是主机A和主机B的通道-“网线”。
5、SSH反向连接的使用
使用的过程中碰到一个问题, 就是在主机A上发起请求的时候, 需要输入密码。 如果我在家里, 不可能跑到公
司了去输入密码。于是用ssh public key的方法和写一个脚本来解决。脚本如下:
代码:
#!/bin/bash
while true;do
RET=`ps ax | grep "ssh -f -N -R 10000:localhost:22" | grep -v "grep"`
if [ "$RET" = "" ]; then
echo "restart ssh server"
ssh -f -N -R 10000:localhost:22 username@公网IP
fi
sleep 10
done
脚本的作用就是监控反向连接的服务, 在被异常中断的时候重启, 使用了SSH公钥后, 也不必跑到公司输入密
码了。 :-)