利用SSH 反向代理 ，实现跨局域网连接家里的linux 主机 （树莓派）

软硬件环境：

A、 树莓派 3b+ 1个，安装于我租住的房间中。联网经过多层NAT（网络地址转换），故无公网IP
B、一个有公网IP的VPS(虚拟主机)，我使用的是国外的vultr，您也可以选择阿里云，亚马逊等各种厂商产品。这台机器的操作系统为 centos 7.0 ，IP 为 A.A.A.A
C、一台普通的电脑

操作步骤：

1、修改公网服务器 ssh 配置文件 sshd_config 文件：

# vi /etc/ssh/sshd_config
添加 GatewayPorts yes
# 重启 ssh 服务
# centos 7
systemctl reload sshd.service
# centos 7 以下
service sshd reload

2、局域网中的树莓派连接公网服务器反向代理端口：

这段代码在本地树莓派中执行，这段代码是将本地机器的22端口绑定公网服务器的7233端口

ssh -CqTfnN -R 0.0.0.0:7233:127.0.0.1:22

3、检查反向代理是否成功：
在公网服务器中执行如下代码，如果出现相同结果则表明 SSH反向代理成功

netstat -anp | grep 7233
tcp        0      0 0.0.0.0:7233                0.0.0.0:*                   LISTEN      2392/sshd  
tcp        0      0 :::7233                     :::*                        LISTEN      2392/sshd

4、测试是否能通过反向代理连接局域网中的树莓派：
这时，你可以通过普通电脑的ssh客户端 连接 公网服务器的7233端口。测试连接是否成功

# 这里需要注意的是pi为树莓派的登陆用户名，A.A.A.A为公网服务器地址ssh -p 7233

编写脚本守护反向代理

1、设置树莓派免密码登录公网服务器：

# 在内网树莓派中执行
ssh-keygen -t rsa -P ‘‘
# 然后一直按回车, 于是在~/.ssh/中 会生成两个文件 id_rsa 与 id_rsa.pub
# 将id_rsa.pub 复制到公网服务器中
scp ~/.ssh/id_rsa.pub :~
#输入密码

#切换到公网服务器中执行如下代码
cat ~/id_rsa.pub >> ~/.ssh/authorized_keys
#修改文件权限，这一步很必要
chmod 600 .ssh/authorized_keys
chmod 700 .ssh/

2、编写公网服务器关闭代理脚本

#!/bin/sh

if [ -n "$1" ] && [ "$1" -gt "0" ];then
    PID=$(netstat -anp | grep $1 | awk ‘/sshd/ && !/awk/{print $7}‘)
    PID=${PID%%/*}

    if [ -n "${PID}" ];then
        kill -9 $PID && exit 0
    fi
fi

exit 1

将脚本内容保存为: /usr/local/bin/kill_ssh_agent，
并赋予执行权限：chmod +x /usr/local/bin/kill_ssh_agent

3、编写客户端代理守护脚本 (注意配置服务器端口及IP)

#!/bin/bash

ROMOTE_USERNAME=root
ROMOTE_SERVER_IP="A.A.A.A"
ROMOTE_PORT=7233 
###[ /sbin/ifconfig|sed -n ‘/inet addr/s/^[^:]*:\([0-9.]\{7,15\}\) .*/\1/p‘|grep -v 127.0.0.1 ]
LOCALHOST_IP=`/sbin/ifconfig -a|grep inet|grep -v 127.0.0.1|grep -v inet6|awk ‘{print $2}‘|tr -d "addr:"`
LOCALHOST_PORT=22

while true ;
do
    PID=$(ssh -l root ${ROMOTE_SERVER_IP}  netstat -anp | grep ${ROMOTE_PORT} | awk ‘/sshd/ && !/awk/{print $7}‘)
    PID=${PID%%/*}
    if [ -n "$PID" ] && [ "$PID" -gt "0" ];then
        sleep 30s
    else
        /usr/bin/ssh -l root ${ROMOTE_SERVER_IP} /usr/local/bin/kill_ssh_agent ${ROMOTE_PORT}
        /usr/bin/ssh -CqTfnN -R 0.0.0.0:${ROMOTE_PORT}:${LOCALHOST_IP}:${LOCALHOST_PORT} ${ROMOTE_USERNAME}@${ROMOTE_SERVER_IP}
    fi
done

exit 0

将脚本内容保存为: /usr/local/bin/ssh_agent_deamon，
并赋予执行权限：chmod +x /usr/local/bin/ssh_agent_deamon

4、设置 SSH 连接为长连接 （在公网服务器操作）

vi /etc/ssh/sshd_config

#每1分钟发送一个心跳信号给客户端
ClientAliveInterval 60
#最大超时次数,客户端不响应则关闭连接
ClientAliveCountMax 3

5、设置为开机启动 （在内网机器操作):

vi /etc/rc.local

/usr/local/bin/ssh_agent_deamon &

遇到的问题：
理论上按照上面的步骤操作，反向代理就能成功了。但是操作中我还是遇到了不少问题。我这里把他们列出来
1.防火墙
防火墙会阻止未经许可端口的数据通过，所以允许端口的防火墙通过是很有必要的。您需要确认每台机器是否有防火墙，如果有防火墙，是否正确的配置了防火墙。
另外，在公网服务器中，很多服务商提供了额外的防火墙服务。在他们的网页控制台可以看到。我的公网服务器就有服务商提供的额外防火墙。我的做法是将centos自带的防火墙关掉，并禁止开机启动。然后配置服务商提供的防火墙，允许反向代理的端口通过。当然您也可以两个防火墙都开着，但要确保他们都通过了您需要的端口。
2.ssh自动登录失败：
自动登录失败，可能因为你的秘钥文件权限不对。ssh秘钥登录对文件权限很敏感。还有我犯了一个错误，我在公网服务器生成秘钥，然后放到本地。导致一度登录失败。正确的做法应是在内网生成秘钥，放到外网服务器中
3.守护脚本不能成功设置反向代理问题：
守护代理是通过 /etc/rc.local 开机启动的，其默认用户为root。我在生成秘钥的时候一直用的普通用户，于是导致在开启自动启动时运行失败。解决办法是，切换到内网机器的root用户，再生成一次秘钥，将秘钥追加到公网服务器的authorized_keys文件中。如果新买的机器不知道root用户的密码是什么，可以看一下参考文章的第4个连接

参考的文章：
https://www.cnblogs.com/phpdragon/p/5314650.html
https://blog.csdn.net/Post_Yuan/article/details/78603212
http://www.mamicode.com/info-detail-2128504.html
https://blog.csdn.net/faryang/article/details/50779767

原文参考：https://blog.csdn.net/qq_28766327/article/details/82117409