SSH反向連接及Autossh

• 2019 年 10 月 5 日
• 筆記

最近因為工作需要，要給生產環境的MySQL在雲上搞災備實例【 專有網絡的VPC主機，×××專線太貴，走公網又不安全，暫時準備用ssh隧道跑着試試看】

原文地址： https://www.cnblogs.com/weifeng1463/p/6805624.html

0.接觸Linux恐怕對SSH再熟悉不過了，還有scp，sftp各種方便的功能，一般的使用都需要ip:port（如果不是默認22的話），但有些情況比較特殊，就是想連接一台內網主機（比如公司內網，當然你肯定做不了Port Forwarding，除非你想在公司防火牆上拆個洞）。稍懂一點網絡的童鞋會明白，Internet上去主動連接一台內網是不可能的，一般的解決方案分兩種，一種是端口映射（Port Forwarding），將內網主機的某個端口Open出防火牆，相當於兩個外網主機通信；另一種是內網主機主動連接到外網主機，又被稱作反向連接（Reverse Connection），這樣NAT路由/防火牆就會在內網主機和外網主機之間建立映射，自然可以相互通信了。但是，這種映射是NAT路由自動維持的，不會持續下去，如果連接斷開或者網絡不穩定都會導致通信失敗，這時內網主機需要再次主動連接到外網主機，建立連接。

1.理論的介紹完了，下面實際操作：

A要控制B

A主機：外網，ip：123.123.123.123，sshd端口：2221

B主機：內網，sshd端口：2223

無論是外網主機A，還是內網主機B都需要跑ssh daemon

1.1.首先在B上執行

$ ssh -NfR 1234:localhost:2223 user1@123.123.123.123 -p2221

這句話的意思是將A主機的1234端口和B主機的2223端口綁定，相當於遠程端口映射（Remote Port Forwarding）。

這裡每次需要輸入A主機user1的登陸密碼，後面會講到解決辦法。

1.2.這時在A主機上sshd會listen本地1234端口

$ ss -ant  State      Recv-Q Send-Q        Local Address:Port          Peer Address:Port  LISTEN     0      128               127.0.0.1:1234                     *:*

1.3.像平時一樣連接到A主機的1234端口就可以控制內網B主機了

$ ssh localhost -p1234

2.一開始提到，這種反向連接（Reverse Connection）不穩定，可能隨時斷開，需要內網主機B再次向外網A發起連接，這時需要個「朋友」幫你在內網B主機執行這條命令。它就是Autossh。

在此之前還要解決之前的一個問題，那就是每次內網主機B連接外網主機A時都需要輸入密碼，這個問題ssh本身是提供另外一種驗證方式——通過密鑰驗證用戶身份，實現自動登錄。

2.1.在內網B主機上生產公鑰和私鑰

$ ssh-keygen  ...(一直按Enter，最後在~/.ssh/下生成密鑰)  $ ls ~/.ssh/  id_rsa id_rsa.pub known_hosts

2.2.複製B主機上生成的id_rsa.pub公鑰到外網A主機上，並將內容加入到~/.ssh/authorized_keys中

$ cat id_rsa.pub >> ~/.ssh/authorized_keys

試下，內網B主機連接外網A主機，就不再輸入密碼驗證了

補充：今天了解到ssh-copy-id這個命令，上面這個操作就變的簡單了

$ ssh-copy-id user1@123.123.123.123

2.3.再來看看Autossh的用法

$ autossh -M 5678 -NR 1234:localhost:2223 user1@123.123.123.123 -p2221

比之前的命令添加的一個-M 5678參數，負責通過5678端口監視連接狀態，連接有問題時就會自動重連，去掉了一個-f參數，因為autossh本身就會在background運行。

3.終極方案：當重啟內網B主機，誰來自動Autossh呢，加入daemon吧

以daemon方式執行，相當於root去執行autossh, ssh，這時剛才普通用戶目錄下的.ssh/authorized_keys文件會不起效。有兩種辦法解決，一種是用autossh的參數指定.ssh路徑；另外一種是以普通用戶身份執行daemon，下面是第二種方式。

/bin/su -c '/usr/bin/autossh -M 5678 -NR 1234:localhost:2223 user1@123.123.123.123 -p2221' - user1

autossh還有很多參數，用來設置重連間隔等等。

將上面命令放入下面各啟動方式中，根據自己系統自己配置：

SysV：/etc/inid.d/autossh

Upstart: /etc/init/autossh.conf

systemd: /usr/lib/systemd/system/autossh.service

參考文章：http://www.cnblogs.com/eshizhan/archive/2012/07/16/2592902.html

實際操作：

ssh 服務器A          客戶端 B

將客戶端B 的 公鑰i d_rsa.pub內容 拷貝到 ssh服務器 ~/.ssh/authorized_keys 內  

[root@localhost ~]# cat /root/.ssh/id_rsa.pub ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDA1Il0XVTxsXotDGAhe2DMt8qvDDkmq3i3bA4xgZBlBZCSTe0q7dbaAc3wYlxQUFzhoqZgkz/UwmmbtTky7GDJxVXr942ymTLrWvhnNxF8gi80miqWc+S0qblN1YOYHVeB6TX7Czqp7c7V+OVSSSe1TwzlCnduWscE3yHeGKF7BVFSL2rheEqb9uz2JxLqzZNajSNYPLdkqFVXy4YXSy2+Yef9tkXcQeQE6WFXIFn3zNClcUsnc9tiVydIIV/UlZJoKB+X53wYsscPmZsV4rGauKnVyZqCkn65cl9R0GgsqcpzgDl4df6RPnUwQu8KKmBkyL7Ut/74rknoR3k2I6oZ root@localhost.localdomain

服務器A  上

$ cat ~/.ssh/authorized_keys

sh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDA1Il0XVTxsXotDGAhe2DMt8qvDDkmq3i3bA4xgZBlBZCSTe0q7dbaAc3wYlxQUFzhoqZgkz/UwmmbtTky7GDJxVXr942ymTLrWvhnNxF8gi80miqWc+S0qblN1YOYHVeB6TX7Czqp7c7V+OVSSSe1TwzlCnduWscE3yHeGKF7BVFSL2rheEqb9uz2JxLqzZNajSNYPLdkqFVXy4YXSy2+Yef9tkXcQeQE6WFXIFn3zNClcUsnc9tiVydIIV/UlZJoKB+X53wYsscPmZsV4rGauKnVyZqCkn65cl9R0GgsqcpzgDl4df6RPnUwQu8KKmBkyL7Ut/74rknoR3k2I6oZ root@localhost.localdomain

測試客戶端B是否可以免密登錄服務器A

[root@localhost ~]# ssh root@*.*.*.*

Last login: Fri Oct 20 14:39:43 2017 from 60.186.216.123

# root @ iZm5e2ln1ze72tyk6xghd4Z in

客戶端B 設置：

[root@localhost ~]# cat /root/.ssh/config  StrictHostKeyChecking no

客戶端B:

[root@localhost ~]# rpm -qa|grep autossh autossh-1.4e-1.el7.x86_64

[root@localhost ~]# autossh -f -M 30002 -NR 20002:localhost:22 root@*.*.*.* -p22 [root@localhost ~]# ps aux|grep ssh root 19110 0.0 0.0 80356 3564 ? Ss 13:48 0:00 /usr/sbin/sshd -D root 23857 0.0 0.0 6456 448 ? Ss 14:23 0:00 autossh -M 30002 -NR 20002:localhost:22 root@*.*.*.* -p22 root 23858 0.0 0.0 73912 3896 ? S 14:23 0:00 /usr/bin/ssh -L 30002:127.0.0.1:30002 -R 30002:127.0.0.1:30003 -NR 20002:localhost:22 -p22 root@*.*.*.* root 25724 0.0 0.0 143376 5524 ? Ss 14:37 0:00 sshd: root@pts/0 root 27950 0.0 0.0 112660 972 pts/0 S+ 14:53 0:00 grep –color=auto ssh

服務器A：

# root @ iZm5e2ln1ze72tyk6xghd4Z in ~ [14:44:45]  $ ssh root@127.0.0.1 -p 20002 root@127.0.0.1's password:  Last login: Fri Oct 20 14:37:23 2017 from 192.168.4.135 [root@localhost ~]# ifconfig br0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500 inet 192.168.4.4 netmask 255.255.255.0 broadcast 192.168.4.255 inet6 fe80::424:40ff:fe4f:c068 prefixlen 64 scopeid 0x20<link> ether d0:17:c2:8c:4c:ca txqueuelen 0 (Ethernet) RX packets 790553 bytes 185836627 (177.2 MiB) RX errors 0 dropped 0 overruns 0 frame 0 TX packets 1501288 bytes 2066559368 (1.9 GiB) TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

enp3s0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500 ether d0:17:c2:8c:4c:ca txqueuelen 1000 (Ethernet) RX packets 906083 bytes 216184400 (206.1 MiB) RX errors 0 dropped 51 overruns 0 frame 0 TX packets 1501283 bytes 2066559110 (1.9 GiB) TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

服務器A可以正常登錄客戶端B