目录
端口映射
(一) 路由器的虚拟服务器(端口映射)功能
(二) Windows上专用的端口映射工具PortTunnel
(三) Linux端口映射工具:RINETD
(四) nat123的端口映射
(五) 花生壳内网穿透NAT-DDNS
基于反向隧道的端口转发
(一) ssh端口转发
(二) Holer
基于反向代理的端口转发
(一) frp内网穿透
(二) ngrok内网穿透
(三) n2n内网穿透
自建服务器或者监控时,需要解决外网设备访问内网端口的任务。这个任务称为内网穿透,解决方法通常是端口映射与端口转发。
网上关于端口映射与端口转发之间区别的讨论很多,观点也不尽相同,在此我也无意争辩二者的区别,因为实际情况是,端口映射与端口转发这两个词在很多时候都混用了。
在阅读本文时,请各位暂且认同:端口映射发生于节点与路由/网关之间,其原理是NAT(Network Address Translation,网络地址翻译);而端口转发则是利用反向隧道、反向代理,发生于两个网络节点的端口之间。
要实现端口映射,如果是家庭宽带是公网IP,可以直接使用带端口映射功能的路由器,或者将网线插入一台电脑做网关(需要解决的是各服务器之间网络连接的问题,如何使其他服务器连上这台电脑,是通过网线桥接还是无线连接需要自行衡量);家庭宽带不是公网IP的,可以使用NAT服务、DDNS服务。
这种方法需要一个带有端口映射功能的路由器。我以中兴的天翼网关和树莓派motion网络服务为例。配置时,其中外部端口是外网访问的端口,例如可选9000,建议不要太小,因为服务提供商可能屏蔽较小的一些端口;内网端口是motion的端口,为8081或8080;协议选TCP;内部IP是树莓派的局域网ip。例如你的公网ip为59.60.84.xxx,这些设置完以后就可以在浏览器中输入59.60.84.xxx:9000,即可看到实时画面。
PortTunnel是一个实现端口映射的专用工具。它是一个直接运行的软件。如果操作系统为Windows NT/Windows 2000/Windows XP,第一次运行时选择Start,PortTunnel会自动以服务方式运行。点击[Add]按钮添加条目,点击[Edit]按钮编辑现有条目,点击[Delete]按钮删除条目。
在这个“新建/编辑端口映射”对话框中,我们要给该条目命名,然后设定输入端口(Port In)、绑定地址(Bind address)、输出端口(Port Out)和输出地址(Address Out)。其中,“绑定地址”是指监听该主机的哪一个IP(内部IP还是外部IP)。设为“Any(0.0.0.0)”则监听该主机的全部IP。
PortTunnel专门针对HTTP、FTP、SMTP服务的端口映射,提供了较多的参数设置,在相应的标签菜单下调整。此外,PortTunnel还提供了安全性设置和日志、统计等功能。
附一篇教程:《PortTunnel [端口映射软件] 使用配置说明》
RINETD可以算得上Linux上最为简单好用的端口映射工具了,安装配置均很简单。在此我也就不展开说了,附一篇教程:《rinetd 一个linux下的端口转发工具》,若有需要,学着这个教程做一下就行。
nat123对Linux、Windows、Android都适用,在其官网上都有相应的教程:
Linux版教程 / Windows版教程 / Android版教程
nat123提供了比较丰富的端口映射功能,有http映射(80端口)、https映射(443端口)、非80端口、非网站(其他端口)、全端口映射、全映射等。提醒大家注意,除全端口映射外,其他服务是不需要在访问侧(外网)加装p2p访问者软件的,可以方便使用【全映射是全端口映射的面p2p访问者软件版本】。nat123有免费线路,也有收费服务,具体的收费情况大家自己再行了解。
我简单说一下全端口映射,以树莓派的vnc服务为例,首先你需要在nat123官网注册一个账号,然后树莓派上安装好nat123软件,并在本地APP上登录账号。nat123的端口映射管理功能在官网上【而不是在本地进行,或者说它只是没有告诉我们如何在本地进行管理】,所以你需要在nat123官网上添加端口映射时选择全端口映射(仅p2p),然后在安卓手机或Windows上安装p2p访问者(nat123官网下载),运行端口映射服务与vnc服务,对vnc来说,端口号=5900+桌面号,例如桌面号为1,那么端口号就是5901,打开p2p访问者,添加访问端口5901,注意p2p访问者要在后台运行,不要关掉,然后打开vnc viewer,输入域名和端口号5901,即可访问树莓派了。
nat123配置较为简单,容易上手;有开放免费线路且使用体验较好;Linux/Windows/Android皆可使用,可能适合较多的人。
说到内网穿透,网上很多人都会提到花生壳的内网穿透。花生壳的解决方案是基于NAT和DDNS的。很多年前我使用花生壳的时候,这个服务确实还是可以的,免费,而且连接速度OK,现在用的人太多,速度自然降下来了,也开始提供付费服务了。具体内容我不多说了。
花生壳官网:http://www.oray.com
下面介绍端口转发,端口转发都需要一个公网IP服务器,如果自己没有的话,就只能寻求第三方提供的端口转发服务(如Holer)了。
反向隧道端口转发的典型是SSH端口转发,下面我先介绍如何在自己有公网IP服务器的情况下用SSH反向隧道做端口转发,然后介绍一款开源的SSH端口转发工具(第三方服务)。
ssh端口转发命令的基本格式为:
ssh [其他Option] -L/-R sourceIP:sourcePort:targetIP:targetPort user@server_addr
首先明确,建立ssh隧道连接存在两个对象,在这里,我们称发起ssh连接的一侧为Client,而接受ssh连接的一侧为Server,server_addr即为Server的IP地址。
其中-L/-R含义如下:
-L:本地端口转发,把发送到Client的端口的请求转发至Server的端口;此时Client是source,Server是target;
-R:远程端口转发,把发送到Server的端口的请求转发至Client的端口;此时Server是source,Client是target;显然,内网穿透属于这种情况;
此外,ssh tunnel的典型应用一般是三种,除了上面的本地端口转发和远程端口转发,还有一种-D:动态端口转发,是把发送到Client端口(支持SOCKS协议)的请求转发至Server上,而不需指定转发到哪个Server端口,适用于端口映射关系较多的情况。这种情况相对复杂,与本文所讨论的内网穿透没有太大联系,暂且按下。关于动态端口转发,感兴趣的可以看一下:《SSH Dynamic Port Forwarding》与《SSH dynamic port forwarding with SOCKS》。
其他Options:
-N:
组织启动阻塞式远程 shell会话。当我们只用 ssh
来建立隧道时很有用。
-f:
使该forwarding进程以守护进程形式启动(仅在使用-N选项时有效)。
-p:登录Server时的SSH的端口,不使用时为22。
下面以树莓派SSH服务端口为例来做一个ssh端口转发的简单测试。
Step1:按目前OpenSSH的默认配置,只有localhost才能使用本机的端口转发 , 其他设备发起的连接只会得到“ connection refused”。因此,在开启端口转发之前,首先应该修改sshd的配置,使其他设备发起的连接也可以得到转发。
编辑/etc/ssh/sshd_config文件,添加:
GatewayPorts yes
Step2:在树莓派上,通过远程端口映射,将服务器的2222端口映射到树莓派的22端口:
ssh -fNR 2222:localhost:22 root@公网IP
这里其实有所省略,完整的写法是:
ssh -fNR *:2222:localhost:22 root@公网IP
*代表接受来自所有IP的连接请求,如果替换为localhost,那么即便做了Step1中的设置,其他设备也无法连接。
Step3:通过服务器的公网IP地址以及2222端口上访问树莓派:
ssh -p 2222 pi@server_addr
在第三方设备上,通过本地端口映射,将第三方设备的2222端口映射到服务器的2222端口:
ssh -fNL 2222:localhost:2222 root@公网IP
在第三方设备上访问树莓派:
ssh -p 2222 pi@localhost
Holer的GitHub地址:https://github.com/Wisdom-Projects/holer
Holer是基于SSH的内网穿透服务。在Holer仓库的readme文档下有使用指南,没什么技术难度,我就简单说说:例如你想远程SSH登陆你的树莓派,将conf/holer.conf文件中原有的Holer Access Key修改为针对SSH服务的Holer Access Key,再启动Holer即可,服务端就配置完成了。Holer提供的SSH服务的映射端口是holer.org:65534,则在客户端的连接方式是:
ssh [email protected] -p 65534
可以看到,Holer的配置确实简单,但是其问题也十分明显,只有一个Holer Access Key作为唯一标识,大家都是用这个Key,连接数多了以后就出问题了。
Holer也提供了独立的Access Key,这是需要付费开通的。
有公网IP服务器的人可以使用frp、ngrok、n2n等反向代理工具来实现内网穿透。
GitHub仓库:https://github.com/fatedier/frp
GitHubReleases:https://github.com/fatedier/frp/releases/
根据服务器/客户端所属架构与系统,在releases中分别下载合适的版本,并解压出来。
frps.ini是服务器端的配置文件,配置如下:
[common]
bind_port = 6666
记住bind_port是frp服务的监听端口。
启动服务端frps:
./frps -c ./frps.ini
而在客户端,我们要修改的配置文件是frpc.ini(以ssh服务为例):
[common]
server_addr = x.x.x.x
server_port = 6666
[ssh]
type = tcp
local_ip = 127.0.0.1
local_port = 22
remote_port = 2222
server_addr是服务器的公网ip,server_port是服务器上设置的frp服务的监听端口。
[ssh]部分的local_port是ssh服务的本地端口,默认是22,而remote端口并不是6666,而是由自己另外指定的服务器上ssh转发的目标端口,这里我选择2222。
启动客户端frpc:
./frpc -c ./frpc.ini
正确连接后,访问本地服务器则可以使用以下命令:
ssh pi@公网ip -p 2222
为提高frp服务的可靠性,可以添加crontab来保证frp在意外中断后能够及时恢复服务。
服务端添加crontab定时任务:
* * * * * /bin/bash /path/to/frp/frps_control.sh
其中frps_control.sh为:
#!/bin/bash
ps -ef | grep 'frps.ini' | grep -v 'grep'
if [ $? -ne 0 ]
then
cd /path/to/frp/
nohup ./frps -c frps.ini >> log &
echo 'frps is now restarting!'
exit
else
echo 'frps is running!'
exit
fi
客户端添加crontab定时任务:
* * * * * /bin/bash /path/to/frp/frpc_control.sh
其中frpc_control为:
#!/bin/bash
client_state=`ps -ef | grep 'frpc.ini' | grep -v 'grep'`
if [ ! -n "$client_state" ]
then
cd /path/to/frp/
nohup ./frpc -c frpc.ini >> log &
echo 'frpc is now restarting!'
exit
else
echo 'frpc is running!'
exit
fi
关于ngrok内网穿透,这里有一篇较完整的教程,供大家参考《自搭Ngrok实现树莓派内网穿透》。
请看《n2n内网穿透神器(一条命令实现穿透)(linux,安卓,win,openwrt全介绍)》。
内网穿透服务提供商提供的免费服务的质量逐渐下降是商业的必然趋势。而在选择他们提供的付费服务和自行搭建内网穿透服务之间,我个人还是更倾向于自己搭建,更加灵活而且长期成本会更低。以上内网穿透方法中,目前我一直在用的是路由器端口映射、frp和ngrok内网穿透,这三个方法也是我最终的推荐,足以满足绝大多数场景的内网穿透配置需求。