内网穿透系列五：自建 SSH 隧道实现内网穿透与端口转发，Docker 快速部署

一、简介

• 一款基于OpenSSH构建的内网穿透与端口转发工具，通过SSH隧道技术实现
• 支持所有TCP协议通信，包括SSH、HTTP、HTTPS等各类应用
• 提供灵活部署方式，特别支持Docker容器化快速部署
• 开源工具地址：https://github.com/luler/hello_ssh
• 数据流转发过程参考下图：
  

二、安装准备

• 提前自行安装好docker、docker-compose软件环境
• 新建docker-compose.yml配置文件，内容如下：

  version: '3'
  services:
    hello_ssh:
      image: ghcr.io/luler/hello_ssh:latest
      ports:
        - "2222:22"  # 这个端口用于连接ssh服务，可修改
        - "9100-9200:9100-9200" #这些端口用于端口转发使用，可修改
      restart: unless-stopped

• 一键启动程序

  docker-compose up -d

  

三、使用示例

1. 把本机上工作在9000端口的portainer服务暴露到公网

• 执行下面端口转发命令，左边的9100端口可以选择容器映射到主机的9100-9200端口（一个端口只能被一个隧道使用，否则执行下面命令会在客户端提示warning），- p 2222是指定连接ssh服务的端口，localhost:9000为任何本机可以访问的服务，这里指定为本机的portainer服务

  ssh -R 9100:localhost:9000 jump@45.125.32.62 -p 2222

• 成功执行完上面命令，就可以通过公网ip（域名）+端口访问本地服务了
  

• 使用ip+端口可以正常访问portainer服务
  

2. 暴露一个工作在3306端口的mysql服务

• 执行下面命令可以暴露任何TCP协议的端口，左边设置公网服务器的端口，localhost:3306就是本机可以连接的mysql服务

  ssh -R 9101:localhost:3306 jump@45.125.32.62 -p 2222

• 成功执行上面命令之后，就可以使用公网ip+9101端口访问mysql服务
  

• 使用mysql客户端访问内网中mysql服务，如下
  

四、总结

• 自建ssh隧道服务可以一定程度保证网络速度稳定性、数据安全性，不过前提是你的有一个具有公网ip的服务器
• ssh客户端直连使用非常方便，一行命令就能实现端口转发，但是不能自动重连，可以考虑使用autossh来进一步保证内网穿透的稳定性
• 当前工具默认设置为无需密码即可使用ssh隧道服务，可能存在被盗用风险，可自行参考源码构建镜像，增加密码验证功能