首页/资讯中心/详情

内网服务不想暴露公网?SSH隧道帮你安全搞定

内网服务不想暴露公网?SSH隧道帮你安全搞定
📅 发布时间:2026/6/20 2:26:55

线上有个MySQL在内网,开发环境想连上去调试,但又不想开公网端口。用SSH隧道,3分钟搞定。

为什么要用SSH隧道

很多时候我们有这样的需求:

  • 本地想访问服务器内网的数据库/Redis
  • 临时让外部访问本地的测试服务
  • 想通过跳板机访问多层内网的服务

这些场景,SSH隧道都能搞定,而且比开端口安全多了。

三种转发模式详解

1. 本地转发(-L):把远程端口映射到本地

场景:服务器内网有个MySQL(3306),本地想用Navicat连。

ssh -L 13306:127.0.0.1:3306 user@server

原理

本地13306 → SSH隧道 → 服务器 → 127.0.0.1:3306

执行后,本地访问127.0.0.1:13306就相当于访问服务器上的MySQL。

实战配置

# 后台运行,不占用终端
ssh -fNL 13306:127.0.0.1:3306 user@server# 参数说明:
# -f 后台运行
# -N 不执行远程命令
# -L 本地转发

高级用法:访问服务器能访问的其他内网机器

# 通过跳板机访问内网192.168.1.100的Redis
ssh -L 16379:192.168.1.100:6379 user@跳板机

2. 远程转发(-R):把本地端口映射到远程

场景:本地开发了个Web服务(8080),想让外网临时访问测试。

ssh -R 18080:127.0.0.1:8080 user@server

原理

外网 → 服务器18080 → SSH隧道 → 本地8080

执行后,访问服务器IP:18080就能访问本地的8080服务。

注意:需要服务器sshd配置允许:

# /etc/ssh/sshd_config
GatewayPorts yes

3. 动态转发(-D):SOCKS5代理

场景:想通过服务器代理访问一些内网资源。

ssh -D 1080 user@server

原理

本地SOCKS5代理(1080) → SSH隧道 → 服务器 → 目标地址

浏览器或其他软件配置SOCKS5代理127.0.0.1:1080,所有流量都走服务器出去。

curl测试

curl --socks5 127.0.0.1:1080 http://内网地址

实战:通过跳板机访问多层内网

公司网络架构:本地 → 跳板机 → 生产内网 → 数据库

方案一:两跳隧道

# 第一跳:本地到跳板机
ssh -L 2222:生产服务器IP:22 user@跳板机# 第二跳:通过第一跳连接生产服务器
ssh -L 13306:127.0.0.1:3306 -p 2222 user@127.0.0.1

方案二:ProxyJump(推荐)

# SSH配置文件 ~/.ssh/config
Host 跳板机HostName 跳板机IPUser your_userHost 生产服务器HostName 生产内网IPUser your_userProxyJump 跳板机# 一条命令直连
ssh -L 13306:127.0.0.1:3306 生产服务器

保持连接不断开

SSH隧道容易因为空闲而断开,加上这些配置:

# ~/.ssh/config
Host *ServerAliveInterval 60ServerAliveCountMax 3TCPKeepAlive yes

或者用autossh自动重连:

# 安装
# Ubuntu: apt install autossh
# CentOS: yum install autossh
# Mac: brew install autossh# 使用(自动重连)
autossh -M 0 -fNL 13306:127.0.0.1:3306 user@server

常见问题排查

1. 连接被拒绝

# 检查SSH服务状态
systemctl status sshd# 检查端口监听
ss -tlnp | grep 22

2. 远程转发不生效

# 检查sshd配置
grep GatewayPorts /etc/ssh/sshd_config# 需要设置为yes并重启sshd

3. 连接后立即断开

# 检查是否加了-N参数
ssh -fNL 13306:127.0.0.1:3306 user@server
#      ^ 这个N很重要

说句实话

SSH隧道适合临时使用,用来调试很方便。但如果是长期需求,比如经常要远程访问内网服务、多台机器互联,配置起来就比较繁琐了。

我现在用星空组网,直接把需要的机器组到一个虚拟局域网里,互相访问就像在同一个内网,不用每次都配隧道,也不用担心连接断开,省事很多。

总结

模式 参数 场景 方向
本地转发 -L 访问远程内网服务 远程→本地
远程转发 -R 暴露本地服务到远程 本地→远程
动态转发 -D SOCKS5代理 全部流量

记住这个口诀:L是拉(把远程拉到本地),R是推(把本地推到远程),D是代理

相关命令速查

# 本地转发:访问远程MySQL
ssh -fNL 13306:127.0.0.1:3306 user@server# 远程转发:暴露本地Web
ssh -fNR 18080:127.0.0.1:8080 user@server# 动态代理
ssh -fND 1080 user@server# 查看已建立的隧道
ps aux | grep ssh