筆者在工作中遇到此場景，如下兩條網(wǎng)絡(luò)限制下，總部如何訪問分公司內(nèi)部web服務(wù)器？

• dmz服務(wù)器可以訪問總部外網(wǎng)服務(wù)器22端口，不可以訪問web服務(wù)器；
• web服務(wù)器不可訪問公網(wǎng)，但是到dmz網(wǎng)絡(luò)無限制。

初看需求，我們第一個想到的肯定是內(nèi)網(wǎng)端口映射到公網(wǎng)，或者vpn，但是不修改網(wǎng)絡(luò)策略情況下很難實現(xiàn)。有沒有別的方法呢，我們繼續(xù)從純網(wǎng)絡(luò)角度分析現(xiàn)有條件。

網(wǎng)絡(luò)通信是雙向的，有請求，有回應(yīng)，就是我們俗稱的“通”。dmz可以訪問外部22端口，代表請求，回包兩個通信通道都是通暢的，我們是否可以借助回包通道，從外部發(fā)起到內(nèi)部的反向訪問呢？答案當(dāng)然是有的，我們來試一試，需要ssh工具。

我們在dmz執(zhí)行如下命令。

[root@dmz]#  ssh -f -N -g -R  6606:10.1.1.1:80 root@115.100.100.100
-f  #代表后臺運行程序
-N  #表示使用遠(yuǎn)程端口轉(zhuǎn)發(fā)創(chuàng)建ssh隧道
-g  #監(jiān)聽本機所有IP地址
-R  #表示使用遠(yuǎn)程端口轉(zhuǎn)發(fā)創(chuàng)建ssh隧道

命令結(jié)合起來什么意思呢，我們使用root用戶遠(yuǎn)程連接到115.100.100.100，并且遠(yuǎn)程主機監(jiān)聽6606端口，當(dāng)訪問此端口時，會跳轉(zhuǎn)到dmz的80端口。此過程會使用到ssh隧道。dmz運行之后，總部服務(wù)器的已經(jīng)有了端口監(jiān)聽。

[root@center]# netstat -tunlp | grep 6606
    tcp        0      0 127.0.0.1:6606          0.0.0.0:*               LISTEN      8616/sshd: root

我們在總部服務(wù)器嘗試端口提示拒絕，代表網(wǎng)絡(luò)已經(jīng)打通了，但是dmz服務(wù)器并沒有監(jiān)聽80端口，所以報端口拒絕。

[root@center]# telnet 127.0.0.1 6606
    Trying 127.0.0.1...
    telnet: connect to address 127.0.0.1: Connection refused

如法炮制，再把web服務(wù)器到dmz的網(wǎng)絡(luò)反向打通，dmz服務(wù)器訪問本地80端口時將跳轉(zhuǎn)到web服務(wù)器的80端口。

[root@web]# ssh -f -N -g -R  80:10.1.1.1:80 root@10.1.1.2

再次到總部服務(wù)器測試訪問就能通信了

[root@center]# telnet 127.0.0.1 6606
    Trying 127.0.0.1...
    Connected to 127.0.0.1.
    Escape character is '^]'.

我們最后從網(wǎng)絡(luò)角度來回顧數(shù)據(jù)包的的轉(zhuǎn)發(fā)過程。

從總部服務(wù)器看到如下信息。

#dmz服務(wù)器以115.100.100.101:29493作源，訪問本地22端口，建立了tcp連接。
[root@center]# ss | grep 115.
    tcp    ESTAB      0      0      172.16.1.1:22                115.100.100.101:29493
[root@center]# netstat -tpna | grep 115.
    tcp        0      0 172.16.1.127:22      101.230.91.53:29493     ESTABLISHED 8555/sshd: root
#本地端口也對應(yīng)到了進(jìn)程號8616
[root@center]#netstat -tunlp | grep 6606
    tcp        0      0 127.0.0.1:6606          0.0.0.0:*               LISTEN      8616/sshd: root[root@center]# ps -ef | grep 8616
    root      8616  8555  0 Dec03 ?        00:01:04 sshd: root.

當(dāng)總部服務(wù)器訪問127.0.0.1:6606時，網(wǎng)絡(luò)連接信息如下。

#雙向通道已經(jīng)建立
[root@center]# ss | grep 6606
    tcp    ESTAB      0      0      127.0.0.1:6606                 127.0.0.1:51158
    tcp    ESTAB      0      0      127.0.0.1:51158                127.0.0.1:6606

我們最后用圖片來展示最終網(wǎng)絡(luò)轉(zhuǎn)發(fā)過程。

dmz發(fā)起ssh連接到總部服務(wù)器，并且遠(yuǎn)程端口轉(zhuǎn)發(fā)。遠(yuǎn)程服務(wù)器訪問轉(zhuǎn)發(fā)端口時，數(shù)據(jù)將封裝到回包通道，由于ssh本身加密，外部網(wǎng)絡(luò)無法知曉網(wǎng)絡(luò)交互邏輯，從而實現(xiàn)反向訪問。