最近我買了一臺樹莓派主機 ，并且裝上了官方系統(tǒng)（Raspbian ）。打算用它來跑跑腳本之類的。但是遇到一個問題，我在外的時候，怎么遠程連接家里的在局域網(wǎng)中的主機呢？
我已經(jīng)成功的解決了這個問題，期間也遇到了各種坑，我在這里也會詳細的說一下這些坑。如果您還有任何其他問題，可以在下面評論留言給我。

軟硬件環(huán)境：
1.樹莓派 3b+ 1個，安裝于我租住的房間中。聯(lián)網(wǎng)經(jīng)過多層NAT（網(wǎng)絡地址轉(zhuǎn)換），故無公網(wǎng)IP
2.一個有公網(wǎng)IP的VPS(虛擬主機)，我使用的是國外的vultr，您也可以選擇阿里云，亞馬遜等各種廠商產(chǎn)品。這臺機器的操作系統(tǒng)為 centos 7.0 ，IP 為 A.A.A.A
3.一臺普通的電腦

---

操作步驟：

修改公網(wǎng)服務器 ssh 配置文件 sshd_config 文件：

# vi /etc/ssh/sshd_config 添加 GatewayPorts yes # 重啟 ssh 服務 # centos 7 systemctl reload sshd.service # centos 7 以下 service sshd reload

局域網(wǎng)中的樹莓派連接公網(wǎng)服務器反向代理端口：

這段代碼在本地樹莓派中執(zhí)行，這段代碼是將本地機器的22端口綁定公網(wǎng)服務器的7233端口

ssh -CqTfnN -R 0.0.0.0:7233:127.0.0.1:22 root@A.A.A.A

檢查反向代理是否成功：
在公網(wǎng)服務器中執(zhí)行如下代碼，如果出現(xiàn)相同結(jié)果則表明 SSH反向代理成功

netstat -anp | grep 7233 tcp 0 0 0.0.0.0:7233 0.0.0.0:* LISTEN 2392/sshd tcp 0 0 :::7233 :::* LISTEN 2392/sshd

測試是否能通過反向代理連接局域網(wǎng)中的樹莓派：
這時，你可以通過普通電腦的ssh客戶端 連接 公網(wǎng)服務器的7233端口。測試連接是否成功

ssh -p 7233 root@A.A.A.A

編寫腳本守護反向代理
1.設置樹莓派免密碼登錄公網(wǎng)服務器：

# 在內(nèi)網(wǎng)樹莓派中執(zhí)行 ssh-keygen -t rsa -P '' # 然后一直按回車, 于是在~/.ssh/中 會生成兩個文件 id_rsa 與 id_rsa.pub # 將id_rsa.pub 復制到公網(wǎng)服務器中 scp ~/.ssh/id_rsa.pub root@A.A.A.A:~ #輸入密碼#切換到公網(wǎng)服務器中執(zhí)行如下代碼 cat ~/id_rsa.pub >> ~/.ssh/authorized_keys #修改文件權(quán)限，這一步很必要 chmod 600 .ssh/authorized_keys chmod 700 .ssh/

2.編寫公網(wǎng)服務器關閉代理腳本

#!/bin/shif [ -n "$1" ] && [ "$1" -gt "0" ];thenPID=$(netstat -anp | grep $1 | awk '/sshd/ && !/awk/{print $7}')PID=${PID%%/*}if [ -n "${PID}" ];thenkill -9 $PID && exit 0fi fiexit 1

3.編寫客戶端代理守護腳本 (注意配置服務器端口及IP)

#!/bin/bashROMOTE_USERNAME=root ROMOTE_SERVER_IP="A.A.A.A" ROMOTE_PORT=7233 ###[ /sbin/ifconfig|sed -n '/inet addr/s/^[^:]*:\([0-9.]\{7,15\}\) .*/\1/p'|grep -v 127.0.0.1 ] LOCALHOST_IP=`/sbin/ifconfig -a|grep inet|grep -v 127.0.0.1|grep -v inet6|awk '{print $2}'|tr -d "addr:"` LOCALHOST_PORT=22while true ; doPID=$(ssh -l root ${ROMOTE_SERVER_IP} netstat -anp | grep ${ROMOTE_PORT} | awk '/sshd/ && !/awk/{print $7}')PID=${PID%%/*}if [ -n "$PID" ] && [ "$PID" -gt "0" ];thensleep 30selse/usr/bin/ssh -l root ${ROMOTE_SERVER_IP} /bin/sh /data/kill_ssh_agent.sh ${ROMOTE_PORT}/usr/bin/ssh -CqTfnN -R 0.0.0.0:${ROMOTE_PORT}:${LOCALHOST_IP}:${LOCALHOST_PORT} ${ROMOTE_USERNAME}@${ROMOTE_SERVER_IP}fi doneexit 0

4.設置 SSH 連接為長連接 （在公網(wǎng)服務器操作）

vi /etc/ssh/sshd_config#每1分鐘發(fā)送一個心跳信號給客戶端 ClientAliveInterval 60 #最大超時次數(shù),客戶端不響應則關閉連接 ClientAliveCountMax 3

設置為開機啟動 （在內(nèi)網(wǎng)機器操作):

vi /etc/rc.local/bin/sh /data/ssh_agent_deamon.sh &

遇到的問題：
理論上按照上面的步驟操作，反向代理就能成功了。但是操作中我還是遇到了不少問題。我這里把他們列出來
1.防火墻
防火墻會阻止未經(jīng)許可端口的數(shù)據(jù)通過，所以允許端口的防火墻通過是很有必要的。您需要確認每臺機器是否有防火墻，如果有防火墻，是否正確的配置了防火墻。
另外，在公網(wǎng)服務器中，很多服務商提供了額外的防火墻服務。在他們的網(wǎng)頁控制臺可以看到。我的公網(wǎng)服務器就有服務商提供的額外防火墻。我的做法是將centos自帶的防火墻關掉，并禁止開機啟動。然后配置服務商提供的防火墻，允許反向代理的端口通過。當然您也可以兩個防火墻都開著，但要確保他們都通過了您需要的端口。
2.ssh自動登錄失敗：
自動登錄失敗，可能因為你的秘鑰文件權(quán)限不對。ssh秘鑰登錄對文件權(quán)限很敏感。還有我犯了一個錯誤，我在公網(wǎng)服務器生成秘鑰，然后放到本地。導致一度登錄失敗。正確的做法應是在內(nèi)網(wǎng)生成秘鑰，放到外網(wǎng)服務器中
3.守護腳本不能成功設置反向代理問題：
守護代理是通過 /etc/rc.local 開機啟動的，其默認用戶為root。我在生成秘鑰的時候一直用的普通用戶，于是導致在開啟自動啟動時運行失敗。解決辦法是，切換到內(nèi)網(wǎng)機器的root用戶，再生成一次秘鑰，將秘鑰追加到公網(wǎng)服務器的authorized_keys文件中。如果新買的機器不知道root用戶的密碼是什么，可以看一下參考文章的第4個連接

參考的文章：
https://www.cnblogs.com/phpdragon/p/5314650.html
https://blog.csdn.net/Post_Yuan/article/details/78603212
http://www.mamicode.com/info-detail-2128504.html
https://blog.csdn.net/faryang/article/details/50779767

如果有幫到您，打個賞唄

總結(jié)

以上是生活随笔為你收集整理的利用SSH 反向代理 ，实现跨局域网连接家里的linux 主机 （树莓派）的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。