有跳板机情况下如何打洞?本地 pc 与跳板机,跳板机与目标主机都只有 22 端口可以访问,想实现如下效果。 (知道不安全哈,就是单纯想探讨一下)
https://i.imgur.com/99VDQPn.jpg
1
hyq 2020-11-06 10:47:29 +08:00 3
双层 ssh 隧道就行
ssh -o 'ProxyCommand ssh {user}@{跳板机 IP} nc %h %p' -L 3306:{目标机器可访问 mysql 的 ip}:3306 {user}@{目标机器 IP} |
2
hyq 2020-11-06 10:48:09 +08:00 1
然后本机会监听 3306 端口,访问这个端口就能自动转发到目标机的 3306
|
3
kiddingU 2020-11-06 10:54:16 +08:00 1
楼上说的方法可以,内网穿透用 ssh 隧道也行,很方便
|
4
cuixiao603 OP @hyq #1 跳板机上没有 nc 怎么办呢
|
5
sazima 2020-11-06 11:42:52 +08:00 1
ssh7.3 的 ProxyJump, 再加上 ssh 隧道
|
6
cuixiao603 OP @sazima #5 没有搞通 大佬能否细说一下呢
|
7
onion83 2020-11-06 13:21:02 +08:00
sysctl -w net.ipv4.ip_forward=1
iptables -t nat -A PREROUTING -p tcp --dport 3306 -j DNAT --to-destination <IP>:3306 |
8
cuixiao603 OP @onion83 #7 这个。。恐怕不行吧
|
9
dogfeet 2020-11-06 14:38:24 +08:00 3
跳板机上没 nc 的话,可以直接先在跳板机上开个隧道
ssh -Nfg -L 3306:127.0.0.1:3306 目标机 然后在本机上执行 ssh -Nfg -L 3306:127.0.0.1:3306 跳板机 这样访问本机的 3306 会先通过隧道到跳板机的 3306 然后再通过隧道至目标机的 3306 |
10
lewis89 2020-11-06 14:38:51 +08:00
@cuixiao603 #8 没毛病,PREROUTING 跟 DNAT 就是干这个的
|
11
tzigone 2020-11-06 14:46:24 +08:00
有 DMZ , 怎么打
|
12
cuixiao603 OP @lewis89 #10 目标主机和跳板机都只有 22 端口是通的
|
13
lewis89 2020-11-06 14:53:26 +08:00
@cuixiao603 #12 ssh 把远程主机的端口转发到本地呗..
|
14
myd 2020-11-06 14:57:24 +08:00 1
[!] 危险操作
|
15
cuixiao603 OP @dogfeet #9 已测试 非常好用
|
16
codingbody 2020-11-06 21:12:51 +08:00 via iPhone
借楼咨询下:怎么透过跳板机 用 scp 给内网机器上传、下载文件
本地用的 mac |