你有没有遇到过这种情况:周末在家正准备改完那份PPT,突然发现文件还在办公室电脑上。打车回去不现实,找同事帮忙也张不开嘴。这时候要是能远程连上公司电脑就好了——但直接把内网暴露在公网上?想想都吓人。
为什么不能直接远程连接?
很多公司内部系统都不对外公开,比如财务系统、客户数据库、项目管理平台。如果为了远程访问就把这些服务直接开放到公网,等于把家门钥匙挂在网上,谁都能来试一试。黑客扫描IP段、暴力破解密码,分分钟就能破门而入。
网络隧道是怎么解决问题的?
网络隧道就像一条加密的地下通道。你在家里发起连接,数据先被加密,然后通过公网“穿”到公司服务器,再解密进入内网。外面看只是普通的数据流,根本看不出里面跑的是什么。
常见的实现方式是SSH隧道。比如你想访问公司内网的一台Web服务(地址是 http://192.168.1.100:8080),但它不出现在外网。你可以用下面这条命令建立本地隧道:
ssh -L 8080:192.168.1.100:8080 user@gateway.company.com执行后,你在自己电脑打开浏览器访问 http://localhost:8080,实际上看到的就是公司内网那台机器的内容。整个过程流量经过SSH加密,中间就算被截获也看不懂。
除了SSH,还有别的选择吗?
当然有。像 frp、ngrok 这类工具更适合没有公网IP的场景。比如你在家里搭了个NAS,想从外面访问相册,但宽带没给固定IP。可以用frp把内网服务映射出去。
配置文件大致长这样:
[common]
server_addr = your-vps-ip
server_port = 7000
[web]
type = http
local_port = 80
custom_domains = photos.myhome.com只要VPS有公网IP,重启服务后就能通过域名访问家里的NAS了。所有请求依然走加密通道,不会裸奔。
别忘了设置访问控制
开了隧道不代表万事大吉。得配合强密码或密钥认证,禁用默认账户。比如SSH最好关掉root登录,改用普通用户+sudo。还可以限制允许连接的IP范围,哪怕密码泄露,攻击者不在白名单里也进不来。
有些企业会结合双因素认证。比如每次建立隧道前,不仅要输入密码,还得手机APP点一下确认。多一层验证,风险就少一大截。
实际使用中的小细节
隧道不稳定?可能是网络波动导致断连。可以给SSH加上自动重连参数:
ssh -o ServerAliveInterval=60 -L 8080:192.168.1.100:8080 user@gateway.company.com这表示每60秒发一次心跳包,保持连接活跃。配合 autossh 工具还能自动重启断开的隧道。
另外,别随便转发敏感端口。比如数据库3306、Redis 6379这种,即使加了密码也不建议长期暴露在隧道中。用完及时关闭,减少攻击面。