很多服务器没有外网地址只能通过内网访问。

这个时候就需要我们先登录跳板机,然后在跳板机上登录内网机器(本机 ssh -> 跳板机 -> 内网机器)。

因为跳板机是公用的,所以为了安全不能将跳板机的公钥放到内网机器上实现免密登录,更不能将本机的公钥和私钥放到跳板机上实现免密登录。因为懒所以就搜寻到一个解决方案。

处于防火墙内部的主机往往需要通过跳板机才能访问互联网上的远程服务器。如下图所示:

+--------------------+       +---------------------+     +------------------+
|                    |       |                     |     |                  |
|  YOU(本地主机)      |------>+ HOST1(跳板机)        +---->+   HOST2(远程主机)|
|                    |       |                     |     |                  |
+--------------------+       +---------------------+     +------------------+

你通过HOST1作为跳板机,访问远程主机HOST2

单跳板机

通过 ssh 的 -J 参数可以指定跳板机,比如

ssh -J host1 host2

若需要指定用户名和端口号则可以扩充为:

ssh -J user1@host1:port1 user2@host2:port2

多跳板机

若访问远程主机需要经过多个跳板机,则将多个跳板机的信息用逗号(,)来连接,比如

ssh -J user1@host1:port1,user2@host2:port2 user3@host3:port3

将跳板机信息存入 ssh_config中

从OpenSSH7.3开始,我们可以通过 ssh_config 中的 ProxyJump 指令指定跳板机,比如

Host host3
        HostName XXX.XXX.XXX.XXX
        ProxyJump user1@host1:port1,user2@host2:port2

这样以后要访问host3,只需要直接 ssh host3 就行了,无需指定跳板机信息