巧用 SSH 打通外网限制

上一篇：SpringBoot+Dubbo+Nacos 开发实战教程

大家好，我是顶级架构师。

笔者在工作中遇到此场景，如下两条网络限制下，总部如何访问分公司内部web服务器？

• dmz服务器可以访问总部外网服务器22端口，不可以访问web服务器；

• web服务器不可访问公网，但是到dmz网络无限制。

初看需求，我们第一个想到的肯定是内网端口映射到公网，或者vpn，但是不修改网络策略情况下很难实现。有没有别的方法呢，我们继续从纯网络角度分析现有条件。

网络通信是双向的，有请求，有回应，就是我们俗称的“通”。dmz可以访问外部22端口，代表请求，回包两个通信通道都是通畅的，我们是否可以借助回包通道，从外部发起到内部的反向访问呢？答案当然是有的，我们来试一试，需要ssh工具。

我们在dmz执行如下命令。

• -f：代表后台运行程序

• -N：表示使用远程端口转发创建ssh隧道

• -g：监听本机所有IP地址

• -R，表示使用远程端口转发创建ssh隧道

命令结合起来什么意思呢，我们使用root用户远程连接到115.100.100.100，并且远程主机监听6606端口，当访问此端口时，会跳转到dmz的80端口。此过程会使用到ssh隧道。dmz运行之后，总部服务器的已经有了端口监听。

如法炮制，再把web服务器到dmz的网络反向打通，dmz服务器访问本地80端口时将跳转到web服务器的80端口。

再次到总部服务器测试访问就能通信了。

我们最后从网络角度来回顾数据包的的转发过程。

从总部服务器看到如下信息。

当总部服务器访问127.0.0.1:6606时，网络连接信息如下。

牛逼啊！接私活必备的 N 个开源项目！赶快收藏

我们最后用图片来展示最终网络转发过程。

dmz发起ssh连接到总部服务器，并且远程端口转发。远程服务器访问转发端口时，数据将封装到回包通道，由于ssh本身加密，外部网络无法知晓网络交互逻辑，从而实现反向访问。

欢迎大家进行观点的探讨和碰撞，各抒己见。如果你有疑问，也可以找我沟通和交流。扩展：接私活儿

最后给读者整理了一份BAT大厂面试真题，需要的可扫码回复“面试题”即可获取。