基于 SSH 反向隧道的家庭实验室接入方案

概述

我们经常面临这样的需求：如何在公司或差旅环境中，安全地访问位于家庭内网的AI 训练机？

传统的 DDNS + 路由器端口映射方案暴露面过大，极易招致全网扫描。本文将分享一种 “隐形”架构方案：利用一台公网 VPS（或有公网 IP 的节点）作为跳板，通过 Autossh 建立反向隧道，并将所有流量限制在回环接口（Localhost）内，实现极高的安全性。

架构拓扑

[外部环境] --(SSH加密)--> [公网网关] --(SSH隧道/Localhost)--> [内网工作站]
(公司/咖啡厅)            (Gateway)                         (Target)

• 隐蔽性： 网关对外不开放任何额外端口。
• 安全性： 内网工作站只监听本机流量，对局域网其他设备不可见。

步骤一：环境准备

假设我们有两台主机：

1. Gateway (网关)： 拥有公网 IP，运行 Linux，SSH 端口为 2222。
2. Target (内网目标)： 位于家庭 NAT 后，无公网 IP，用户名为 local_user。

在 Target 上安装必要软件：

sudo apt update
sudo apt install openssh-server autossh

步骤二：配置隧道专用凭证

为了实现开机自启和断线重连，我们需要一个无密码的 SSH 密钥专门用于建立隧道（并非用于登录 Shell）。

在 Target 上执行：

# 生成专用密钥，不设置密码
ssh-keygen -t ed25519 -f ~/.ssh/id_tunnel -N "" -C "autossh-tunnel"# 将公钥上传至 Gateway
ssh-copy-id -i ~/.ssh/id_tunnel.pub -p 2222 gateway_user@gateway.example.com

步骤三：部署 Autossh 守护进程

我们使用 Systemd 来管理 Autossh，确保隧道稳如磐石。

在 Target 上创建服务文件：sudo vim /etc/systemd/system/autossh-tunnel.service

[Unit]
Description=AutoSSH Reverse Tunnel
After=network-online.target ssh.service
Wants=network-online.target[Service]
User=local_user
Type=simple
# 核心参数解析：
# -M 0: 禁用 autossh 自身的监控端口（使用 SSH 原生保活）
# -N: 不执行远程命令
# -R 127.0.0.1:8888:localhost:22 : 
#    关键！将 Gateway 的 8888 端口绑定在 127.0.0.1。
#    这意味着只有登录到 Gateway 本机的人才能访问此端口，公网无法扫描。
ExecStart=/usr/bin/autossh -M 0 -N \-o "ServerAliveInterval 30" \-o "ServerAliveCountMax 3" \-o "ExitOnForwardFailure yes" \-o "StrictHostKeyChecking no" \-R 127.0.0.1:8888:localhost:22 \-p 2222 \-i /home/local_user/.ssh/id_tunnel \gateway_user@gateway.example.comRestart=always
RestartSec=10[Install]
WantedBy=multi-user.target

启动并验证服务：

sudo systemctl enable --now autossh-tunnel.service

步骤四：连接与验证

现在，隧道已经建立。Target 的 SSH 端口已经投射到了 Gateway 的 127.0.0.1:8888。

连接方式：

1. 在外部电脑，SSH 登录 Gateway。
2. 在 Gateway 的 Shell 中，跳转到 Target：

ssh -p 8888 local_user@127.0.0.1

此时，你应当能成功登录内网工作站。

步骤五：安全加固

仅建立隧道是不够的，我们必须假设内网环境（如家庭 WiFi）可能是不安全的，或者有人可能攻破了路由器的防火墙。我们需要将 Target 变成一座“孤岛”。

1. 限制监听地址 (Ghost Mode)

修改 Target 的 /etc/ssh/sshd_config，使其不再监听 0.0.0.0，只监听回环地址。

# /etc/ssh/sshd_config
# 取消注释并修改 ListenAddress
ListenAddress 127.0.0.1
ListenAddress ::1

效果： 即使有人连入了你家的 WiFi，直接扫描你的电脑 IP，也会发现 22 端口是关闭的。SSH 服务只接受来自隧道（被系统视为本机流量 ::1）的连接。

2. 禁用密码登录

既然隧道已经打通，通过隧道暴力破解密码成为唯一的风险。彻底关闭它。

首先，确保你的日常使用密钥已经上传：
(在 Gateway 上执行)

ssh-copy-id -p 8888 local_user@127.0.0.1

然后，修改 Target 的 /etc/ssh/sshd_config：

AuthenticationMethods publickey
PubkeyAuthentication yes
PasswordAuthentication no
KbdInteractiveAuthentication no

最后，重启 SSH 服务：sudo systemctl restart ssh。

总结

通过这套架构，我们实现了一个完美的“内网”节点：

1. Gateway 端：只看到一个本地的监听端口，防火墙无需开放额外端口。
2. Target 端：对局域网隐身，仅通过加密隧道与外界单线联系。
3. 链路：利用 Autossh 保持长连接，无需担心家庭宽带 IP 变动。