说实话,我对反向代理这个概念并不熟悉,只是感觉以下要做的事是一个代理的逆向过程,故借此名词一用。
问题场景是这样的:我有两套Linux集群的访问权限,分别为A和B,它们互相独立。其中A、B集群均能访问外网,但只有A集群有公网IP,所以从外网直接登录B就不行。要解决的问题就是从外网能登录到B集群。
我对代理的理解是:一台不能访问外网的机器,通过局域网内一台可以访问外网的机器代理服务,就能实现访问外网的目的。
而我以为的反向代理就是以上的逆向过程,这个肯定是可以做到的,比如:我们在外网要对某台局域网内的Windows进行远程桌面控制时就面临IP地址非公网的问题,但QQ能远程桌面却能完成这样的需求,区别就在于一个是被动受控,一个是主动请求受控;木马什么的,其实都是主动请求受控。
那么,在Linux集群之间,我该如何解决碰到的问题呢?以下是从http://portable.easylife.tw/entry/Reverse-SSH-Tunnel整理的部分内容,该内容正好能处理对应的需求。
通常用SSH Tunnel是用来完成类似代理的功能,如图:
红色区域可通过SSHTunnel访问原本受限的绿色部分,这一招通常用来FQ。
反向Tunnel可以解决我实际碰到的问题:
通过反向的Tunnel就可以做到了,具体步骤如下(以下内容转载而来,欢迎转载而去):
示例环境:
局域网主机:
ServerA / Linux / user userA / ip192.168.0.123 / ssh port 22
ServerB / Linux / user userB / ip192.168.0.125 / ssh port 22
PC / Windows / ip 192.168.0.128 / 远程桌面 port3389
远程主机:
MyServer / Linux / user me / ip 1.2.3.4 /ssh port 22
ssh参数:
-N:不执行何指令
-f:后台执行
-R:建立reverse tunnel
示例1:从MyServer ssh连回ServerA
[[email protected]] $ ssh -NfR2222:localhost:22 [email protected]
--------------------------------------------------------------
[[email protected]] $ netstat -tnl | grep 127.0.0.1
tcp 0 0 127.0.0.1:2222 0.0.0.0:* LISTEN
[[email protected]] $ ssh [email protected] -p 2222
MyServer连到2222 port会转向ServerA的ssh port,成功连接到ServerA
示例2:从MyServer ssh连回ServerB
[[email protected]] $ ssh -NfR 2244:192.168.0.125:[email protected]
--------------------------------------------------------------
[[email protected]] $ netstat -tnl | grep127.0.0.1
tcp 0 0 127.0.0.1:2244 0.0.0.0:* LISTEN
[[email protected]] $ ssh [email protected] -p 2244
MyServer连接到本机的2244 port会转向到ServerB的ssh port,成功连接到ServerB
示例3:从MyServer远程桌面PC
[[email protected]] $ ssh -NfR2266:192.168.0.128:3389 [email protected]
--------------------------------------------------------------
[[email protected]] $ netstat -tnl | grep127.0.0.1
tcp 0 0 127.0.0.1:2266 0.0.0.0:* LISTEN
[[email protected]] $ rdesktop 127.0.0.1:2266
若你在Linux的桌面环境则可以直接display远程桌面PC,不然就export DISPLAY到其他主机。
此外,为了防止反向的Tunnel断开,还需要一个autossh工具,它可以帮助断线后自动重连。这个对我相当的重要,事实上我现在很少去B集群所在的地方。
对示例一做autossh可以如此做:
[[email protected]] $ autossh -M 12345-NfR2222:localhost:22 [email protected]
当然,为了防止集群重启或断电等问题,可以将上语句写到开机启动脚本里。
以上的工作也可以通过putty完成,如示例3可以如下设置:
xshell也能干同样的事:
赶紧试试吧~~~~
今天看到个好东西,补充一下。
再上文中做反向隧道后,只能在本机ssh localhost -p 来登录,想要从其他IP来却不行,因为SSH本地端口转发绑定的是 lookback 接口。看网上博文http://blog.csdn.net/xyyangkun/article/details/7025854 说建立隧道时加-g参数可以实现,但我没有成功。不过看完https://www.ibm.com/developerworks/cn/linux/l-cn-sshforward/ 后灵机一动,再建立个本机公网到本机localhost的隧道就OK了:
ssh -g -L 9099:localhost:2222 localhost
这样就可以通过ssh 公网 -p 9099 来登录了!