什么是SSH隧道

首先看下面的例子，我们所面临的大部分情况都和它类似。

• 内网的机器A，公网的机器B，某服务器C
• A可以连接B，B可以连接C，但是AC之间不能连接
• 这个时候如果B能运行一个OpenSSH服务器，那么就可以通过B形成隧道连接AC

跳转机的端口转发服务

我们建立ssh隧道的时候，往往是想通过一台公网的主机或者是大家都可以访问的主机做跳转机，来访问内部或者外部不能直接访问的机器。所以一般像这种情况下，请将跳转机中的ssh服务器中的GatewayPorts设为yes

ssh是linux远程登录的安全协议，是 C/S 模式的架构，配置文件分为服务器端配置文件 [/etc/ssh/sshd_config] 与客户端配置文件默认配置文件[/etc/ssh/ssh_config] 用户配置文件[~/.ssh/config]。sshd_config 是服务端主配置文件这个文件的宿主应当是root，权限最大可以是644

关于sshd_config配置详解，这里不会过多涉及，有兴趣的同学可以自行查找材料，这里主要说下GatewayPorts

1、是否允许远程主机连接本地的转发端口。默认值是”no”。

2、sshd(8) 默认将远程端口转发绑定到loopback地址。这样将阻止其它远程主机连接到转发端口。

3、GatewayPorts 指令可以让 sshd 将远程端口转发绑定到非loopback地址，这样就可以允许远程主机连接了。

4、”no”表示仅允许本地连接，”yes”表示强制将远程端口转发绑定到统配地址(wildcard address)， “clientspecified”表示允许客户端选择将远程端口转发绑定到哪个地址。

修改完成之后，重启sshd服务

vim /etc/ssh/sshd_config 
> GatewayPorts yes

systemctl reload sshd

本地SSH隧道

在建立本地SSH隧道之前要清楚下面几个参数：

在清楚了上面的参数后，我们使用下面的命令来建立一个远程SSH隧道，在192.168.199.16的主机上执行下面的命令：

ssh -Nf -L 192.168.199.16:3333:118.126.110.20:22 192.168.199.16

这里我们用到了SSH客户端的三个参数，下面我们一一做出解释：

-N 告诉SSH客户端，这个连接不需要执行任何命令。仅仅做端口转发

-f 告诉SSH客户端在后台运行

-L 做本地映射端口，被冒号分割的三个部分含义分别是最后一个参数是我们用来建立隧道的中间机器的IP地址(192.168.199.16)

* 需要使用的本地端口号（3333)

* 需要访问的目标机器IP地址（118.126.110.20）

* 需要访问的目标机器端口（22)

那么本地局域网的任何机器访问192.168.199.16:3333都会自动被映射到118.126.110.20:22。

远程SSH隧道

内网的机器A，公网的机器B，某服务器C

A可以连接B，B可以连接C，但是AC之间不能连接

这个时候如果B能运行一个OpenSSH服务器，那么就可以通过B形成隧道连接AC

与本地SSH一样，我们在建立远程SSH隧道之前要清楚下面几个参数：

• 公网机器B的IP地址（118.126.110.20）端口号（2222）
• 内网的机器A的IP地址(192.168.199.16) 端口号(22)

在清楚了上面的参数后，我们使用下面的命令来建立一个远程SSH隧道，在192.168.199.16的主机上执行下面的命令：

ssh -Nf -R 118.126.110.20:2222:192.168.199.16:22 118.126.110.20

# 防止长时间没有连接路由断开
ssh -Nf -R 118.126.110.20:20241:192.168.199.242:22 118.126.110.20 -o TCPKeepAlive=yes

1、这个命令也可以在局域网里192.168.199.16上执行

2、192.168.199.16可以直接与公网主机118.126.110.20建立ssh连接

4、那么任何外网主机通过访问公网主机118.126.110.20:2222就会被连接到192.168.199.16:22

5、从而可以完成外网穿越NAT到内网的访问，而不需要在内网网关和路由器上做任何操作。

现在，在IP是118.126.110.20的机器上，我们用下面的命令就可以登陆公司的IP是192.168.199.16的机器了。

ssh -p 2222 localhost

SSH隧道需要注意的地方

自动重连

隧道可能因为某些原因断开，例如：机器重启，长时间没有数据通信而被路由器切断等等。因此我们可以用程序控制隧道的重新连接，可以使用一个简单的循环控制隧道重新连接。

保持长时间连接

有些路由器会把长时间没有通信的连接断开。SSH客户端的TCPKeepAlive选项可以避免这个问题的发生，默认情况下它是被开启的。如果它被关闭了，可以在ssh的命令上加上-o TCPKeepAlive=yes来开启。

另一种方法是，去掉-N参数，加入一个定期能产生输出的命令。例如: vmstat，下面给出一个这种方法的例子：

ssh -R 139.199.0.37:2222:192.168.199.16:22 139.199.0.37 "vmstat 30"

如何将端口绑定到外部地址上

使用上面的方法，映射的端口只能绑定在127.0.0.1这个接口上。也就是说，只能被本机自己访问到。如何才能让其他机器访问这个端口呢？我们可以把这个 映射的端口绑定在0.0.0.0的接口上，方法是加上参数-b 0.0.0.0。同时还需要打开SSH服务器端的一个选项－GatewayPorts。默认情况下它应当是被打开的。如果被关闭的话，可以在/etc/sshd_config中修改GatewayPorts no为GatewayPorts yes来打开它。