资讯专栏INFORMATION COLUMN

上云采购季!| 爆款云服务器低至4.6元/月,首单享0.9折

免费试用
首页/文章专栏/调试利器-SSH隧道

调试利器-SSH隧道

Aceyclee / 1561人阅读

摘要:在开发微信公众号或小程序的时候,由于微信平台规则的限制,部分接口需要通过线上域名才能正常访问。通过隧道传输数据时,数据会被加密,就算中间被劫持,黑客也无法得到数据的原内容。为了让隧道一直保持在后台执行,有以下方法。

在开发微信公众号或小程序的时候,由于微信平台规则的限制,部分接口需要通过线上域名才能正常访问。但我们一般都会在本地开发,因为这能快速的看到源码修改后的运行结果。但当涉及到需要调用微信接口时,由于不和你在同一个局域网中的用户是无法访问你的本地开发机的,就必须把修改后的代码重新发布到线上域名所在的服务器才能去验证结果。每次修改都重新发布很繁琐也很浪费时间。

本文将教你如何通过 SSH 隧道把本地服务映射到外网,以方便调试,通常把这种方法叫内网穿透。

阅读完本文后,你能解决以下常见问题:

开发微信公众号等应用时把本地服务映射到外网,加速调试流程;

把你正在开发的本地服务分享给互联网上其它人访问体验;

在任何地方通过互联网控制你家中在局域网里的电脑;

最终目的

把运行在本地开发机上的 HTTP 服务映射到外网,让全世界都能通过外网 IP 服务到你本地开发机上的 HTTP 服务。例如你本地的 HTTP 服务监听在 127.0.0.1:8080,你有一台公网 IP 为 12.34.56.78 的服务器,通过本文介绍的方法,可以让全世界的用户通过 http://12.34.56.78:8080 访问到你本地开发机上的 HTTP 服务。

总结成一句话就是:把内网端口映射到外网。

前提条件

为了把内网服务映射到外网,以下资源为必须的:

一台有外网 IP 的服务器;

能在本地开发机上通过 ssh 登入到外网服务器。

要满足以上条件很简单:

对于条件1:购买一台低配 Linux 服务器,推荐国外的 DigitalOcean;

对于条件2:对于 Mac、Linux 开发机是内置了 ssh 客户端的,对于 Windows 可以安装 Cygwin。

实现原理

要实现把内网端口映射到外网,最简单的方式就是通过 SSH 隧道。

SSH 隧道就像一根管道,能把任何2台机器连接在一起,把发送到其中一台机器的数据通过管道传输到另一台机器。假如已经通过 SSH 隧道把本地开发机和外网服务器连接在了一起,外网服务器端监听在 12.34.56.78:8080,那么所有发给 12.34.56.78:8080 的数据都会通过 SSH 隧道原封不动地传输给本地开发机的 127.0.0.1:8080,如图所示:

也就是说,去访问 12.34.56.78:8080 就像是访问本地开发机的 127.0.0.1:8080,本地开发机上的 8080 端口被映射到了外网服务器上的 8080 端口。

如果你的外网服务器 IP 配置了域名解析,例如 yourdomin.com 会通过 DNS 解析为 12.34.56.78,那么也可以通过 yourdomin.com:8080 去访问本地开发机上的服务。
这样就做到了访问外网地址时其实是本地服务返回的结果。

通过 SSH 隧道传输数据时,数据会被加密,就算中间被劫持,黑客也无法得到数据的原内容。
所以 SSH 隧道还有一个功能就是保证数据传输的安全性。
实现步骤

把本地开机和外网服务器通过 SSH 隧道连接起来就和在本地开发机 SSH 登入远程登入到外网服务器一样简单。

先来回顾以下 SSH 远程登入命令,假如想在本地远程登入到 12.34.56.78,可以在本地开发机上执行以下命令:

ssh username@12.34.56.78

而实现 SSH 隧道只需在本地开发机上执行:

ssh -R 8080:127.0.0.1:8080 username@12.34.56.78

可以看出实现 SSH 隧道的命令相对于 SSH 登入多出来 -R 8080:127.0.0.1:8080,多出的这部分的含义是:
在远程机器(12.34.56.78)上启动 TCP 8080端口监听着,再把远程机器(12.34.56.78)上8080端口映射到本地的127.0.0.1:8080
执行完以上命令后,就可以通过 12.34.56.78:8080 去访问本地的 127.0.0.1:8080 了。

通常把这种技术叫做 SSH 远程端口转发(remote forwarding)。

其实不限于只能把本地开发机上运行的服务映射到外网服务器上去,还可以把任何本地开发机可以访问的服务映射到外网服务器上去。例如在本地开发机上能访问 github.com:80,在本地开发机上执行:

ssh -R 8080:github.com:80 username@12.34.56.78

就能通过 12.34.56.78:8080 去访问 github.com:80 了。

保持运行

在执行完上面介绍的 SSH 隧道命令后,你会发现登入到了外网服务器上去了,如果你登出外网服务器,就会发现 12.34.56.78:8080 无法访问了。导致这个问题的原因是你登出外网服务器时,在外网服务器上本次操作对应的 SSH 进程也跟着退出了,而这个退出的进程曾负责监听在 8080 端口进行转发操作。

为了让 SSH 隧道一直保持在后台执行,有以下方法。

通过 SSH 自带的参数

SSH 还支持这些参数:

N参数:表示只连接远程主机,不打开远程shell;

T参数:表示不为这个连接分配TTY;

f参数:表示连接成功后,转入后台运行;

因此要让 SSH 隧道一直保持在后台执行,可以通过以下命令:

ssh -NTf -R 8080:127.0.0.1:8080 username@12.34.56.78

通过 AutoSSH

SSH 隧道是不稳定的,在网络恶劣的情况下可能随时断开。如果断开就需要手动去本地开发机再次向外网服务器发起连接。
AutoSSH 能让 SSH 隧道一直保持执行,他会启动一个 SSH 进程,并监控该进程的健康状况;当 SSH 进程崩溃或停止通信时,AutoSSH 将重启动 SSH 进程。

使用AutoSSH 只需在本地开发机上安装 AutoSSH ,方法如下:

Mac 系统:brew install autossh

Linux 系统:apt-get install autossh

安装成功后,在本地开发机上执行:

autossh -N -R 8080:127.0.0.1:8080 username@12.34.56.78

就能完成和上面一样的效果,但本方法能保持 SSH 隧道一直运行。
可以看出这行命令和上面的区别在于把 ssh 换成了 autossh,并且少了 -f 参数,原因是 autossh 默认会转入后台运行。

常见问题

如果你遇到通过以上方法成功启动 SSH 隧道后,还是无法访问 12.34.56.78:8080,那么很有可能是外网服务器上的 SSH 没有配置对。为此你需要去外网服务器上修改 /etc/ssh/sshd_config 文件如下:

GatewayPorts yes

这个选项的意思是,SSH 隧道监听的服务的 IP 是对外开放的 0.0.0.0,而不是只对本机的 127.0.0.1。不开 GatewayPorts 的后果是不能通过 12.34.56.78:8080 访问,只能在外网服务器上通过 127.0.0.1:8080 服务到本地开发机的服务。

修改好配置文件后,你还需要重启 sshd 服务来加载新的配置,命令如下:

service sshd restart

如果使用以上方法还是无法访问 12.34.56.78:8080,请检查你外网服务器的防火墙配置,确保 8080 端口是对外开放的。

其它代替方案

除了 SSH 隧道能实现内网穿透外,还有以下常用方法。

frp

frp 是一个可用于内网穿透的高性能的反向代理应用,支持 tcp, udp, http, https 协议。
frp 有以下特性:

frp 比 SSH 隧道功能更多,配置项更多;

frp 也需要一台外网服务器,并且需要在外网服务器上安装 frps,在本地开发机上安装 frpc;

ngrok

ngrok 是一个商用的内网穿透工具,它有以下特点:

不需要有外网服务器,因为 ngrok 会为你提供;

只需要在本地开发机安装 ngrok 客户端,和注册 ngrok 账户;

按照服务收费;

这些代替方案的缺点在于都需要再额外安装其它工具,没有 SSH 隧道来的直接。
想了解更多可以访问它们的主页。

阅读原文

超融合服务器 专线服务 ssh隧道 阿里云堡垒机 分析利器 利器 python开发利器

文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。

转载请注明本文地址:https://www.ucloud.cn/yun/11589.html

相关文章

  • Node.js 指南(入门指南)

    摘要:调试指南本指南将帮助你入门调试应用程序和脚本。这样做可能会给你带来潜在的重大安全威胁,我们建议你确保适当的防火墙和访问控制措施,以防止安全风险。不再维护或记录调试协议。 入门指南 安装Node之后,让我们尝试构建我们的第一个Web服务器,创建名为app.js的文件,并粘贴以下代码: const http = require(http); const hostname = 127.0....

    ybak 评论0 收藏0

  • SSH: 使用SSH+SOCAT中继UDP数据包

    摘要:我们在阿里云开了一台服务器合作方那边的设备需要向服务器端口不停的发送数据包我通过和把对服务器端口的数据包转发到我本地的端口上以方便开发和测试工作目的是解决仅支持的问题网络其中为阿里云服务器地址或域名使用时可以替换为你自己的服务器地址或域名端 我们在阿里云开了一台服务器, 合作方那边的设备需要向服务器6000端口不停的发送UDP数据包, 我通过SSH和SOCAT把对服务器6000端口的数...

    fuyi501 评论0 收藏0

  • 【安全实战】红队攻防技术

    摘要:前言希望能够面向红蓝双方进行讲解,在进行一些攻击方式分析时,同样也会引起防守方对于攻击的思考。红蓝对抗的意义也正是在这种持续的攻击下不断寻找防御的平衡点,故未知攻,焉知防。 ...

    ivyzhang 评论0 收藏0

  • ssh隧道

    通过ssh端口转发,穿透内网或绕过防火墙,以及tcp流量加密保护SSH隧道端口转发默认是开启如果没开启则需要AllowTcpForwarding=yes本地端口转发在192.168.1.1上执行下面的命令通过192.168.1.2的22号端口将本地的3306端口代理到192.168.1.1的3306端口ssh-g-f-N-L3306:192.168.1.2:3306root@172.16.1.2-...

    社区管理员 评论0 收藏0

  • PHP性能测试利器-Xdebug和phpstorm

    摘要:是一个开放源代码的程序调试器即一个工具,可以用来跟踪,调试和分析程序的运行状况。以下为安装示例,安装请参考集成开发和断点调试环境的配置。指令的配置路径必须是绝对路径。 Xdebug是一个开放源代码的PHP程序调试器(即一个Debug工具),可以用来跟踪,调试和分析PHP程序的运行状况。以下为Windows+Phpstorm+Xampp+Xdebug安装示例,MAC安装请参考集成开发和断...

    MoAir 评论0 收藏0

发表评论

登陆后可评论

0条评论

Aceyclee

|高级讲师
我要私信

TA的文章

阅读更多

云社区相关服务

提问 提问 学习 学习 认证 认证 产品 产品 技术服务 技术服务 售前咨询 售前咨询
最新活动
阅读需要支付1元查看
<