让服务器用本地网络、让本地用服务器的网络，做你懂的事情（加速依赖下载）

<h1 id="ssh-">SSH 正反向代理</h1>
<p>由于经常要连到服务器上，经常会遇到这些问题：</p>
<ul>
<li>只有服务器可以访问一些线上资源，本地无法访问，测试麻烦</li>
<li>服务器可以高速访问一些网站，本地很慢，需要给本地加速</li>
<li>本地可以高速访问一些网站，服务器很慢，需要给服务器加速</li>
</ul>
<p>简单可以总结成两种场景：</p>
<ul>
<li>服务器想用本地的网络</li>
<li>本地想用服务器的网络</li>
</ul>
<p>以我实际遇到的场景为例：共有 3 台服务器，Server、Proxy、Forbidden。Server 为国内云厂商服务器，Proxy 为海外服务器，Forbidden 为海外用于部署 Tor 节点的服务器（国内已无法直连）</p>
<p>（感觉好浪费钱，3 台大部分时间都空闲着……）</p>
<h2 id="ssh--1">SSH 正向代理</h2>
<p>正向代理指通过某个隧道访问远端资源，如使用公司 VPN 连入内网访问内部资源(<del>或者访问不存在的网站</del>)。</p>
<p>对于这种行为，有两种不同的形式：</p>
<ul>
<li>只代理网络里的某个端口，如映射 <code>localhost:port1 -&gt; proxy:port2</code></li>
<li>代理所有请求，如本机所有发向对应端口的连接都由服务端执行实际的请求</li>
</ul>
<h3 id="heading">端口代理</h3>
<p>如同场景里提到的，Forbidden 服务器国内是无法直连的，如果需要经常性连上去操作数据非常不便，因此希望可以使用 Proxy 服务器中转下 SSH 连接。</p>
<p>期望实现如下图的效果：Proxy 服务器在 22 端口承接自己的 SSH 服务，将 2048 端口转发至 Forbidden 服务器的 22 端口实现 SSH 转发。</p>
<p><div class='image'><a href='//static.oyohyee.com/post/ssh_proxy_2.svg' target='_blank' rel='noopener noreferrer'><img src="//static.oyohyee.com/post/ssh_proxy_2.svg" alt="正向代理端口" /></a><span class="img-title">正向代理端口</span></div></p>
<p>在这里，实际上要做的只是端口转发，使用 <code>ssh -L 0.0.0.0:2048:forbidden:22 user@forbidden</code> 即可建立一个 SSH 端口转发。</p>
<hr>
<p>严格来说，更好的办法是使用其他服务，而非 SSH 转发（由于网络波动，SSH 连接可能会断开，这可能会导致转发失效）</p>
<p>更推荐使用 Nginx 的 TCP 转发功能（如果使用 HTTP 反向代理，也可以实现网站加速）。</p>
<p>在 <code>nginx.conf</code> <strong>最外层</strong> 添加如下代码（也可以使用 <code>include</code> 引入），实现 Proxy 服务器 2222 端口到 Forbidden 22 端口的转发。</p>
<pre style="background-color:#fff"><span style="font-weight:bold">stream</span> {
    <span style="font-weight:bold">upstream</span> <span style="color:#b84">tcpssh</span> {
        <span style="font-weight:bold">hash</span> <span style="color:#008080">$remote_addr</span> <span style="color:#b84">consistent</span>;
        <span style="font-weight:bold">server</span> forbidden.example.com:<span style="color:#099">22</span> <span style="color:#b84">max_fails=3</span> <span style="color:#b84">fail_timeout=10s</span>;
    }
    <span style="font-weight:bold">server{</span>
        <span style="color:#b84">listen</span> <span style="color:#099">2222</span>;
        <span style="font-weight:bold">proxy_connect_timeout</span> <span style="color:#b84">20s</span>;
        <span style="font-weight:bold">proxy_timeout</span> <span style="color:#099">5m</span>;
        <span style="font-weight:bold">proxy_pass</span> <span style="color:#b84">tcpssh</span>;
    }
<span style="font-weight:bold">}</span>
</pre><h3 id="heading-1">全流量代理</h3>
<p>如果你有一个 CN2 GIA 服务器，那么再去忍受如同百度云一样的网速去下载开发依赖是没有必要的。但是我们往往可能不需要配置复杂的代理工具，可以简单使用 SSH 代理实现（据说 SSH 代理本身混淆性不如专业性的抗审查工具，长时间使用可能会被筛选出来）。</p>
<p>使用 <code>ssh -D 127.0.0.1:1080 user@proxy</code>，即可以在建立连接的同时，实现本地开放 <code>socks5://127.0.0.1:1080</code> 作为代理端口</p>
<p>接下来就是常规操作了，使用 <code>export HTTP_PROXY=socks5://127.0.0.1:1080; export HTTPS_PROXY=$HTTP_PROXY</code> 设定代理即可。对于 <code>curl</code> 也可以使用 <code>curl https://www.google.com --proxy socks5h://127.0.0.1:1080</code>（<code>socks5</code> 在本地做 DNS 解析，可能会被 DNS 污染；<code>socks5h</code> 会在服务端做 DNS 解析，稳定性更高）。</p>
<h2 id="ssh--2">SSH 反向代理</h2>
<p>反向代理，更多出现在前后端分离部署的场景，由于跨域问题的存在，前后端往往需要部署到同一个服务下。通常在 Nginx 中，会使用 <code>proxy_pass</code> 来将服务代理到某个路径下。这种与正向代理操作相反的被称作反向代理。</p>
<p>如果我们本地有自带负载均衡的加速代理，那么在服务端再去部署一个代理是没必要的（在内网环境下，往往是不允许随意连接外网，安装奇怪的软件的）。这时，可以让服务器使用本地的代理工具联网，加速依赖下载。</p>
<p>如下图，我们可能会希望借助 Proxy 服务器加速 Server 下载依赖，那么在本地已经有了 <code>1080</code> 端口的 socks5 加速代理后，只需要在连接到 Server 时，使用 <code>ssh -R 127.0.0.1:10808:127.0.0.1:1080 user@server</code> 即可以建立一个 Server 10808 端口到本地 1080 端口的映射。接下来就是正常的设置代理的操作（可见全流量代理部分）</p>
<p><div class='image'><a href='//static.oyohyee.com/post/ssh_proxy_2.svg' target='_blank' rel='noopener noreferrer'><img src="//static.oyohyee.com/post/ssh_proxy_2.svg" alt="反向代理" /></a><span class="img-title">反向代理</span></div></p>
<h2 id="heading-2">后台运行</h2>
<p>除去反向代理，我们通常需要交互式执行命令外，正向代理的两种形式我们往往不需要交互式 Shell，只希望有一个背景程序执行转发任务。在这里有一些可选的参数来提升体验：</p>
<ul>
<li><code>-C</code>： 压缩数据传输（使用 <code>gzip</code> 压缩）</li>
<li><code>-q</code>: 不输出信息</li>
<li><code>-T</code>: 不需要分配终端</li>
<li><code>-n</code>: 不监听输入流</li>
<li><code>-N</code>: 不执行命令</li>
<li><code>-f</code>: 后台执行</li>
</ul>
<p>对于这些短命令，可以放在一起，写成 <code>-CNTnfq</code><del>（从那天能翻墙）</del></p>
<h2 id="heading-3">监听外网</h2>
<p>如果需要 SSH 监控 <code>0.0.0.0</code> 的需求，需要修改 <code>/etc/ssh/sshd_config</code> 的 <code>GatewayPorts</code> 为 <code>yes</code>(修改完需要重启 sshd)</p>
<h2 id="heading-4">参考资料</h2>
<ul>
<li><a href="https://zhuanlan.zhihu.com/p/57630633">SSH 命令的三种代理功能（-L/-R/-D） - 知乎</a></li>
</ul>
