如何遠(yuǎn)程管理NAT后的SSH服務(wù)器？

cduedu

現(xiàn)在有三個(gè)設(shè)備A(NAT后面的設(shè)備，無公網(wǎng)地址，客戶控制），B（有公網(wǎng)地址，由我控制），C（NAT后面的設(shè)備，無公網(wǎng)地址，由我控制），需求，我需要通過C設(shè)備在客戶的協(xié)助下，完成對(duì)設(shè)備A的臨時(shí)操作，通過SSH登陸。
1. 客戶A的賬號(hào)和密碼可以告訴我。
2. 我不想將B的任何賬號(hào)和密碼告訴客戶，同時(shí)B的SSH端口也不想向公網(wǎng)開放，因此不能通過SSH反向代理。
3. 在我臨時(shí)處理完對(duì)A的操作后，SSH會(huì)話全部切斷，直到客戶再次給我開啟。

請(qǐng)問大家是否有好的解決方案？

我的想法：
寫兩個(gè)程序來完成這個(gè)功能：
1. 在B上監(jiān)控2個(gè)TCP端口（假定為456，457），做端口轉(zhuǎn)發(fā)，功能為將456的數(shù)據(jù)完整轉(zhuǎn)發(fā)給457，將457的數(shù)據(jù)完整轉(zhuǎn)發(fā)給456.
2.由客戶 在A上啟一個(gè)程序，也做端口轉(zhuǎn)發(fā)，程序主動(dòng)連接B設(shè)備的456端口。程序?qū)?56的數(shù)據(jù)轉(zhuǎn)發(fā)給本地的SSH端口22，將本地的22端口數(shù)據(jù)轉(zhuǎn)發(fā)給B：456
3. 在C上使用SSH客戶端，連接B設(shè)備的457達(dá)到管理A設(shè)備的目錄。

cduedu

回復(fù) 1# cduedu

人工置頂
   

jixuuse

A就算沒公網(wǎng)IP，只要能通過NAT上網(wǎng)，裝個(gè)teamview即可

Riet

不知B設(shè)備是不是就是負(fù)責(zé)NAT的設(shè)備 然后A和C都是通過B的 如果是的話

假設(shè) A地址 192.168.1.1 B地址 111.111.111.111 C地址 192.168.1.2

你可以在B設(shè)備上面寫一條DNAT
iptables -t nat -A PREROUTING -d 111.111.111.111 -p -tcp --dport 30000（隨意指?jìng)�(gè)端口） -j DAT --to 192.168.1.2:22

那要你就可以用ssh軟件 去連接 111.111.111.111:30000 然后就可以登錄到 192.168.1.2上了 然后么 在ssh 192.168.1.1不就可以了么。

Riet

如果B是非linux設(shè)備 也是一樣的思路。

cduedu

回復(fù) 4# Riet
A B C 三個(gè)設(shè)備兩兩不在同一個(gè)網(wǎng)絡(luò)內(nèi)，都需要通過NAT后的其它公網(wǎng)才連接。

你的這個(gè)方法似乎搞不定

Riet

回復(fù) 6# cduedu


    那就讓A所在的出口做個(gè)SSH的端口映射 不就完了么。

Riet

回復(fù) 6# cduedu

至于你的想法

1. 在B上監(jiān)控2個(gè)TCP端口（假定為456，457），做端口轉(zhuǎn)發(fā)，功能為將456的數(shù)據(jù)完整轉(zhuǎn)發(fā)給457，將457的數(shù)據(jù)完整轉(zhuǎn)發(fā)給456.
你這個(gè)有問題的 一個(gè)數(shù)據(jù)包過來 發(fā)現(xiàn)port是456 于是修改包頭轉(zhuǎn)發(fā)給457  457一看是我，我不是要轉(zhuǎn)個(gè)456 又扔回去了。死循環(huán)了 最后丟棄了

2.由客戶 在A上啟一個(gè)程序，也做端口轉(zhuǎn)發(fā)，程序主動(dòng)連接B設(shè)備的456端口。程序?qū)?56的數(shù)據(jù)轉(zhuǎn)發(fā)給本地的SSH端口22，將本地的22端口數(shù)據(jù)轉(zhuǎn)發(fā)給B：456
你這種由內(nèi)主動(dòng)向外發(fā)送連接請(qǐng)求的 你不覺得就是木馬的一種特征么， 防火墻允許不允許這種行為都不好說。

3. 在C上使用SSH客戶端，連接B設(shè)備的457達(dá)到管理A設(shè)備的目錄。
參考1

cduedu

回復(fù) 7# Riet

這樣做主要的目的就是為了安全。如果直接做永久的端口映射就不需要討論了。

cduedu

Riet 發(fā)表于 2016-03-02 14:20
回復(fù) 6# cduedu

至于你的想法

至于你的想法

1. 在B上監(jiān)控2個(gè)TCP端口（假定為456，457），做端口轉(zhuǎn)發(fā)，功能為將456的數(shù)據(jù)完整轉(zhuǎn)發(fā)給457，將457的數(shù)據(jù)完整轉(zhuǎn)發(fā)給456.
你這個(gè)有問題的 一個(gè)數(shù)據(jù)包過來 發(fā)現(xiàn)port是456 于是修改包頭轉(zhuǎn)發(fā)給457  457一看是我，我不是要轉(zhuǎn)個(gè)456 又扔回去了。死循環(huán)了 最后丟棄了
//這個(gè)我覺得肯定是沒有問題，這樣的方法其實(shí)說白了就是類似teamviwer的穿墻，不會(huì)出現(xiàn)死循環(huán)的。

2.由客戶 在A上啟一個(gè)程序，也做端口轉(zhuǎn)發(fā)，程序主動(dòng)連接B設(shè)備的456端口。程序?qū)?56的數(shù)據(jù)轉(zhuǎn)發(fā)給本地的SSH端口22，將本地的22端口數(shù)據(jù)轉(zhuǎn)發(fā)給B：456
你這種由內(nèi)主動(dòng)向外發(fā)送連接請(qǐng)求的 你不覺得就是木馬的一種特征么， 防火墻允許不允許這種行為都不好說。
//這個(gè)是客戶和現(xiàn)場(chǎng)技術(shù)人員嚴(yán)格可控的，策略上沒有問題。

3. 在C上使用SSH客戶端，連接B設(shè)備的457達(dá)到管理A設(shè)備的目錄。
參考