请问一个关于 ssh 访问生产环境不具备公网 ip 机器方式的问题.

其实我是拒绝 ecs 直接公网 ip 的。
建议是客户流量入口走 slb，流量出口走 nat 网关，管理流量都走 vpn 的方式。

frp

应该还是有公网的吧？ 可以端口映射， 通过堡垒机登录也行

我的公司是 vpn+ssh+2fa, 比国内前五互联网公司加起来更安全

tinc 、n2n 一大堆

zerotier

frp 为什么会出现在生产环境………………………………

@dlqingxi 我也想问这个问题，楼主问生产环境，一帮人推荐 frp 和 zerotier 这种东西，是牢饭没吃够么

震惊 对于信息安全要求高的行业

阿里云是提供了堡垒机这个产品的吧

阿里云->产品->热门产品,倒数第三个,就是堡垒机啊

生产环境，并不都是大家熟悉的互联网业啊。传统行业更需要做好内外网隔离。
在非互联网行业，老系统往往要用很长时间，而且运行稳定的系统不会轻易升级。所以更需要通过正确的内外网隔离，把未知的安全威胁挡外面。
比如，真正缔造了计算机世界的 win xp 系统，使用广泛程度超出你的想象。直到微软最终停止维护，仍有大量的工业设施、基础设施使用 XP 系统，比较有名的比如伊朗核设施（参考震网病毒新闻）、台积电生产线（参考永恒之蓝病毒相关新闻）。。。这些设施通过正确的内外网隔离，把安全威胁挡在外面。出现安全事故也和网络无关，而是有人无意间把染毒 U 盘插进内网电脑导致的。
XP 刚停止维护时，全球 95%的 ATM 机使用 XP 系统。其实现在还在普遍使用。以下都是 2020 的照片。

ATM 机

自助冰淇淋售货机

超市收银台
微软弄出的 win10 ltsc 就是给工厂和这些设施升级用的，不然怎么可能存在官方的“win10 纯净版”。
所以？像这样的生产环境，外网通道不是应该完全堵死嘛？还敢让人打洞访问？
就好比把使用 XP 系统的 ATM 机暴露在公网上？这不作死嘛。

@t6attack 第一个 atm 机，看了才想到我已经 5 年没有去 atm 取钱了，杀死 atm 机的是移动支付啊！

可以考虑如下的方案:

假设你所有服务器默认的 SSH 端口都是 22. 且都只允许密钥验证. 并且确保你添加了你自己的公钥到下面提及的所有服务器内.
生产环境只有一台服务器公网暴露. 服务器的公网 IP 地址是 A.
你有另外的两台内网服务器, 对应的内网 IP 是 B 和 C. 这两台服务器的 22 端口只能通过内网 IP 访问. 公网 IP 不允许访问 22 端口.

添加如下配置到你本地的如下文件内(如果不存在, 请创建) `$HOME/.ssh/config`:

```ssh_config
Host jump
Username <username>
Port 22
Hostname A

Host host-b
User <username>
Port 22
Hostname B
PorxyJump jump

Host host-c
User <username>
Port 22
Hostname C
PorxyJump jump
```

你在本地, 通过执行:

```shell
ssh host-b
```

```shell
ssh host-c
```

就可以分别登陆 B 和 C 内网 IP 对应的服务器了.

优点:
简单. 不依赖其他服务.
安全. 只有一台设备的 SSH 服务暴露到了公网访问.

补充. 上面的回复是 MarkDown 语法. 复制粘帖到你的 MarkDown 编辑器内阅读即可.

ssh 让堡垒机映射内网 ssh 端口到本机（非堡垒机）端口，然后保持该 ssh 会话，新开 ssh 127.0.0.1 端口

@akira #19
@iphoneXr #20
@IgniteWhite #22
@ik #23
@YouLMAO #24
@litanid #25
@IDAEngine #26
@dlqingxi #27
@boris93 #28
@avrillavigne #29
@hijoker #30
@t6attack #32
@uncat #34
@kekxv #36

感谢各位大佬的建议, 我会去了解各位提供的方案.

内网穿透方案很多 frp，zerotier，n2n 等，自己搞来玩可以，别往公司搞，更别往生产用，出事背锅概率太大了。建议运维搞，公司出 VPN 和跳板机，用起来才稳妥。

参考：前段时间小米实习员工 frp 穿透导致公司电脑被黑

@YouLMAO vpn 凉了怎么办😏

@Ives 只要给钱，中南 hai 很爱你的