如何远程管理NAT后的SSH服务器？

cduedu

现在有三个设备A(NAT后面的设备，无公网地址，客户控制），B（有公网地址，由我控制），C（NAT后面的设备，无公网地址，由我控制），需求，我需要通过C设备在客户的协助下，完成对设备A的临时操作，通过SSH登陆。
1. 客户A的账号和密码可以告诉我。
2. 我不想将B的任何账号和密码告诉客户，同时B的SSH端口也不想向公网开放，因此不能通过SSH反向代理。
3. 在我临时处理完对A的操作后，SSH会话全部切断，直到客户再次给我开启。

请问大家是否有好的解决方案？

我的想法：
写两个程序来完成这个功能：
1. 在B上监控2个TCP端口（假定为456，457），做端口转发，功能为将456的数据完整转发给457，将457的数据完整转发给456.
2.由客户 在A上启一个程序，也做端口转发，程序主动连接B设备的456端口。程序将456的数据转发给本地的SSH端口22，将本地的22端口数据转发给B：456
3. 在C上使用SSH客户端，连接B设备的457达到管理A设备的目录。

cduedu

回复 1# cduedu

人工置顶
   

jixuuse

A就算没公网IP，只要能通过NAT上网，装个teamview即可

Riet

不知B设备是不是就是负责NAT的设备 然后A和C都是通过B的 如果是的话

假设 A地址 192.168.1.1 B地址 111.111.111.111 C地址 192.168.1.2

你可以在B设备上面写一条DNAT
iptables -t nat -A PREROUTING -d 111.111.111.111 -p -tcp --dport 30000（随意指个端口） -j DAT --to 192.168.1.2:22

那要你就可以用ssh软件 去连接 111.111.111.111:30000 然后就可以登录到 192.168.1.2上了 然后么 在ssh 192.168.1.1不就可以了么。

Riet

如果B是非linux设备 也是一样的思路。

cduedu

回复 4# Riet
A B C 三个设备两两不在同一个网络内，都需要通过NAT后的其它公网才连接。

你的这个方法似乎搞不定

Riet

回复 6# cduedu


    那就让A所在的出口做个SSH的端口映射 不就完了么。

Riet

回复 6# cduedu

至于你的想法

1. 在B上监控2个TCP端口（假定为456，457），做端口转发，功能为将456的数据完整转发给457，将457的数据完整转发给456.
你这个有问题的 一个数据包过来 发现port是456 于是修改包头转发给457  457一看是我，我不是要转个456 又扔回去了。死循环了 最后丢弃了

2.由客户 在A上启一个程序，也做端口转发，程序主动连接B设备的456端口。程序将456的数据转发给本地的SSH端口22，将本地的22端口数据转发给B：456
你这种由内主动向外发送连接请求的 你不觉得就是木马的一种特征么， 防火墙允许不允许这种行为都不好说。

3. 在C上使用SSH客户端，连接B设备的457达到管理A设备的目录。
参考1

cduedu

回复 7# Riet

这样做主要的目的就是为了安全。如果直接做永久的端口映射就不需要讨论了。

cduedu

Riet 发表于 2016-03-02 14:20
回复 6# cduedu

至于你的想法

至于你的想法

1. 在B上监控2个TCP端口（假定为456，457），做端口转发，功能为将456的数据完整转发给457，将457的数据完整转发给456.
你这个有问题的 一个数据包过来 发现port是456 于是修改包头转发给457  457一看是我，我不是要转个456 又扔回去了。死循环了 最后丢弃了
//这个我觉得肯定是没有问题，这样的方法其实说白了就是类似teamviwer的穿墙，不会出现死循环的。

2.由客户 在A上启一个程序，也做端口转发，程序主动连接B设备的456端口。程序将456的数据转发给本地的SSH端口22，将本地的22端口数据转发给B：456
你这种由内主动向外发送连接请求的 你不觉得就是木马的一种特征么， 防火墙允许不允许这种行为都不好说。
//这个是客户和现场技术人员严格可控的，策略上没有问题。

3. 在C上使用SSH客户端，连接B设备的457达到管理A设备的目录。
参考