ubuntu的端口转发(内网穿透)和端口开放
最近在部署应用,涉及到内网的穿透和端口开放等知识,在此做个总结。
背景:现在有服务器A(位于内网中)、服务器B(外网可访问),现在需要实现外网访问服务器A上的特定ip和port。
实现步骤:服务器A和服务器B开放防火墙端口,在服务器A(应用部署在服务器A上)上做ssh远程端口转发。
1、开放端口
ubuntu上有iptables和ufw(uncomplicated firewall)两种方法。
开放特定端口(服务器A和服务器B均需要设置):
1)iptables方法
iptables -I INPUT -p tcp --dport 9001 -j ACCEPT
-- 重启后,配置规则生效
iptables-save
-- 持久化规则
service iptables-persistent save
2)ufw方法
sudo ufw status
sudo ufw allow 9001
sudo ufw allow 9001/tcp
sudo ufw delete allow 9001
2、远程端口转发
服务器A的9001端口远程转发到服务器B的9002端口(应用访问服务器B的9002端口,相当于访问服务器A的9001端口)
在服务器A上输入:ssh -N -f -R localhost:9002:localhost:9001 服务器B用户名@服务器B的ip地址 -p 服务器B的Port
测试远程服务器上的端口是否开启:telnet ip port
3、相关知识点介绍
1)ssh和sshd的区别:ssh是openssh(用以开放对外的远程连接端口)的客户端,sshd是openssh的服务器端。
2)iptables、ufw、netfilter的区别:
ufw是iptables的一个前端,为简化iptables的ubuntu下的前端工具,即iptables是linux系统通用的,而ufw是ubuntu是特有的。
netfilter是位于os内核的包过滤模块,而iptables只是一个防火墙规则配置工具,iptables配置的规则最终通过netfilter才能实现。
下图是iptables和netfllter的关系图(摘自:https://blog.csdn.net/qq_34870631/article/details/78581891)
3)ssh(应用层和传输层的服务)的动态端口转发、本地端口转发和远程端口转发的区别:
动态端口转发:配置本地端口,通过隧道将数据转发到远端的所有地址。
本地端口转发:ssh服务器端和app服务器端在同一服务器,将本地的端口映射到远程的ip和端口,实现在本地访问远程。(外部先访问ssh客户端,连接到ssh服务器端,再访问ssh服务器端所在的服务器,进而访问到应用!)
远程端口转发:ssh客户端和app服务器端在同一服务器,将远程的ip和端口映射为本地的端口,实现ssh服务器端所在的远程可以访问ssh客户端所在的本地。(外部先访问ssh服务器端所在的服务器,在连接到ssh客户端所在的服务器,进而访问到应用!)
说明:本地端口转发和远程端口转发的效果一致,区别是在哪一个服务器上输入ssh命令!ssh服务器端和app应用服务器端在位于同个服务区,就是本地端口转发(在ssh的客户端所在服务器输入ssh -L命令);否则,就是远程端口转发!(同样也是在ssh客户端所在服务器输入ssh -R)
参考链接:
-- iptables的参数详细说明
https://www.cnblogs.com/frankb/p/7427944.html
iptables在各个linux下的具体使用
https://salogs.com/news/2015/08/20/iptables-save/