我最近購買了一個小米路由器，主要用作路由器和家庭媒體共享云盤，但是小米路由器是基于OpenWrt定制的，并且可以打開ssh登錄系統，因此自然不會浪費這樣的設備奢華的功能。

一個，打開ssh

我不會談論這一步。我在互聯網上搜索了很多內容。

第二，打開ssh外部端口

OpenWrt的默認WAN端口是拒絕外部訪問的端口，主要是通過防火墻控制的。我在Internet上搜索了一些方法來實現該功能，但是當扔掉后面的東西時，我仍然老老實實地閱讀OpenWrt的防火墻文檔。再次。

OpenWrt通過UCI系統配置防火墻。 UCI是統一配置接口的縮寫，它是OpenWrt引入的一組配置參數管理系統。

在OpenWrt的默認防火墻配置（/ etc / config / firewall）中，WAN端口配置如下：

config?zone
????????option?name?'wan'
????????option?network?'wan'
????????option?input?'REJECT'
????????option?output?'ACCEPT'
????????option?forward?'REJECT'
????????option?masq?'1'
????????option?mtu_fix?'1'

您可以看到輸入被拒絕。這是為了確保路由器的安全性，我們要做的就是在完整的墻壁上打一個洞。在配置中添加以下代碼，以允許訪問wan端口上的端口22：

config?rule?????????????????????????????????????????????????????????????????
????????option?name?'Allow-wan-ssh'?????????????????????????????????????????
????????option?src?'wan'????????????????????????????????????????????????????
????????option?proto?'tcp'??????????????????????????????????????????????????
????????option?dest_port?'22'???????????????????????????????????????????????
????????option?target?'ACCEPT'

三，建立到公司內部網的ssh隧道

我還在公司的linux環境中工作，并使用ssh進行工作。因此，挖掘ssh隧道可以方便地使用您自己的計算機訪問公司網絡，而不必每次都攜帶公司計算機回家，然后使用麻煩的VPN連接Up！決定性地獲得它！

首先，將公司計算機的ssh公鑰復制到小米路由器上的authorized_keys文件中。互聯網上有很多關于ssh密鑰登錄的文章，我不會多說，主要是關于如何挖隧道的事情：

由于公司的計算機位于內部網絡中，并且小米路由器具有公用網絡ip（電信撥號，因此每次撥號時IP都會更改，因此請使用路由器隨附的DDNS功能綁定特定域）名稱，我使用Peanut Shell Free二級域名，非常方便），因此外部網絡無法訪問公司的機器，并且公司的機器可以訪問我的小米路由器，因此我們需要在公司的計算機上進行操作反向隧道。

1，通過SSH登錄到端口22上的隧道。

ssh?-CfNg?-R?5212:localhost:22?root@myMiRouter.com

這是將小米路由器上的端口5212的數據轉發到本地22端口，以便當我使用小米路由器上的端口5212進行連接時，可以連接到公司的ssh。

2，socks5 Internet代理。

ssh?-CfNg?-R?1314:localhost:1080?root@myMirouter.com

這時，除了反向隧道外，我們還需要一個動態轉發隧道：

ssh?-CfNg?-D?localhost:1080?localhost

因為諸如Web瀏覽和Internet訪問之類的應用程序沒有特定的端口號，所以它可能是http端口80，https端口465或用戶指定的端口。

通過這種方式，我們會將通過小米路由器上的端口1314訪問的數據轉發到Intranet機器，以便我們可以瀏覽Intranet網頁。

此外，由于路由撥號IP地址將更改，這可能導致ssh連接斷開，因此所有ssh都使用autossh，而autossh是ssh的包裝，可以自動重新連接。

三，dropbear服務器的部分配置

這是一個單獨的部分，主要是因為我已經討論了很長時間了。 。 。完成上述配置后，登錄到小米路由器，發現該公司的Intranet可以與小米路由器中的ssh連接。 ssh命令是：

ssh?-p?5212?user@localhost

但是我需要使用小米路由器后面的個人計算機登錄公司的Intranet。這時，我發現它不起作用。連接到小米路由器以登錄我的計算機時，命令為：

ssh?-p?5212?user@192.168.31.1
ssh:?Exited:?Error?connecting:?Connection?refused

發現無法連接。登錄小米路由器后，我發現端口5212僅偵聽本地主機的本地回送地址，因此使用lan ip時，即使在小米路由器的系統中也無法登錄。然后使用以下命令進行連接，但結果仍然相同，僅監視12 7. 0. 0. 1。

ssh?-CfNg?-R?192.168.31.1:5212:localhost:22?root@MiRouter.com

root@XiaoQiang:~#?netstat?-anp?|?grep?5212
tcp????????0??????0?127.0.0.1:5212??????????0.0.0.0:*???????????????LISTEN??????12029/dropbear
tcp????????0??????0?::1:5212????????????????:::*????????????????????LISTEN??????12029/dropbear

所以我認為這不是偵聽地址的問題（確實走錯了路徑�。�，起初我以為lan端口的數據沒有轉發，所以我一直在研究防火墻配置并進行淘汰各種前鋒。 ，重定向。 。 。這就是我如實閱讀防火墻文檔的原因。后來，我去了OpenWrt論壇問問題。有人給出了非常直接的答案。我需要監視19 2. 16 8. 3 1. 1。環回將不起作用。這時，我意識到這根本不是轉發數據的問題，而是地址，然后搜索相關問題的問題，最后發現在ssh中，只有在GatewayPorts開關打開時，其他計算機可以與此計算機共享本地端口轉發，否則，將僅轉發本地localhost端口。 OpenSSH的默認設置是打開此開關，因此Internet上的大多數文章都沒有提及此設置，這使我遭受了T_T

DropBear打開設置需要在配置文件（/ etc / config / dropbear）中使用以下設置

config?dropbear
????????option?PasswordAuth?'on'
????????option?RootPasswordAuth?'on'
????????option?Port?????????'22'
#???????option?BannerFile???'/etc/banner'
#below?are?added?for?share?ssh?tunnel
????????option?'GatewayPorts'?'on'

此外，dropbear必須顯示指定的端口，否則它將僅綁定回送地址，因此您需要在上述反向隧道命令中添加ip地址19 2. 16 8. 3 1. 1，并且您可以使用自己的計算機連接到公司的內部計算機，瀏覽器也可以通過配置socks5代理連接到Internet！

參考文獻：

1，OpenWrt防火墻配置：

2，ssh端口轉發：

3，GatewayPorts設置：

本文來自本站，轉載請注明本文網址：
http://www.pc-fly.com/a/tongxingongju/article-366658-1.html