我們?cè)O(shè)想這樣一種情況，我們是一家小公司，在全國有幾個(gè)小分支辦公機(jī)構(gòu)，每個(gè)機(jī)構(gòu)有一臺(tái)服務(wù)器，由于公司財(cái)務(wù)緊張，買不起專線，用的也是普通家用寬帶，SD-WAN設(shè)備說實(shí)話也挺貴的，那么我們?cè)趺慈サ卿浉鱾€(gè)分支機(jī)構(gòu)的服務(wù)器呢？

辦法當(dāng)然多，比如我們可以通過向日葵和todesk這類遠(yuǎn)程軟件連接到分支機(jī)構(gòu)某個(gè)人的電腦上再去遠(yuǎn)程操作，雖然不方便，但是能夠完成目的。

針對(duì)這種情況，我設(shè)計(jì)出這樣一種方案，通過frp將所有內(nèi)網(wǎng)服務(wù)器映射到一臺(tái)公網(wǎng)服務(wù)器上，再在公網(wǎng)服務(wù)器部署jumpserver跳板機(jī)做集中管理和權(quán)限控制，這樣我們只需要連接一次就能去選擇連接各個(gè)服務(wù)器了。

一、環(huán)境設(shè)計(jì)
雖然我的云服務(wù)器升級(jí)了，但在運(yùn)行網(wǎng)站的同時(shí)難以同時(shí)運(yùn)行跳板機(jī)，所以我這里使用虛擬機(jī)進(jìn)行演示，效果相同。

內(nèi)網(wǎng)服務(wù)器是192.168.10.113，將ssh端口22映射到跳板機(jī)服務(wù)器端口1001。
跳板機(jī)服務(wù)器是192.168.10.20，其中1000端口是frp監(jiān)聽端口，1001是接受內(nèi)網(wǎng)ssh轉(zhuǎn)發(fā)的端口，1002是管理面板，2222是跳板機(jī)的連接端口。

注意：本文僅對(duì)核心內(nèi)容做記錄，不會(huì)關(guān)注防火墻端口開放、開機(jī)啟動(dòng)等等小細(xì)節(jié)。

二、跳板機(jī)配置
一鍵安裝跳板機(jī)并啟動(dòng)

curl -sSL https://github.com/jumpserver/jumpserver/releases/download/v2.17.1/quick_start.sh | bash?

cd /opt/jumpserver-installer-v2.17.1?

./jmsctl.sh start

登錄web面板添加用戶、服務(wù)器、特權(quán)用戶、資產(chǎn)分配等，因?yàn)閮?nèi)網(wǎng)端口映射到服務(wù)器，所以跳板機(jī)配置的ssh是連接本地端口。
用戶test 密碼123456

三、服務(wù)端frp安裝
下載最新包

wget https://github.com/fatedier/frp/releases/download/v0.38.0/frp_0.38.0_linux_386.tar.gz

解壓并編輯?frps.ini

[common]?

bind_port = 1000?

token = NBmima?

dashboard_port = 1002?

dashboard_user = test?

dashboard_pwd = test

啟動(dòng)服務(wù)

nohup ./frps -c ./frps.ini &

四、配置內(nèi)網(wǎng)服務(wù)器客戶端
下載最新包

wget https://github.com/fatedier/frp/releases/download/v0.38.0/frp_0.38.0_linux_386.tar.gz

解壓并編輯?frpc.ini

[common]?

server_addr = 192.168.10.20?

server_port = 1000?

token = NBmima?

[ssh]?

type = tcp?

local_ip = 127.0.0.1?

local_port = 22?

remote_port = 1001

啟動(dòng)服務(wù)

nohup ./frpc -c frpc.ini &

五、測試效果
查看frp面板映射狀態(tài)
192.168.10.20:1002

登錄堡壘機(jī)

test@192.168.10.20?

?ID ?| 主機(jī)名 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?| IP ? ? ? ? ? ? ? | 備注 +-----+-------------------------------------------+------------------+---------+ ?1 ? | 內(nèi)網(wǎng)主機(jī) ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?| 192.168.10.20 ? ?| 頁碼：1，每頁行數(shù)：15，總頁數(shù)：1，總數(shù)量：1 提示：輸入資產(chǎn)ID直接登錄，二級(jí)搜索使用 // + 字段，如：//192 上一頁：b 下一頁：n 搜索：?

[Host]> 1?

開始連接到 內(nèi)網(wǎng)服務(wù)器管理員@192.168.10.20 0.1 Last login: Wed Dec 29 06:24:41 2021 from 192.168.10.253

[root@client ~]# ip addr2: ens32: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000 ? ?link/ether 00:0c:29:df:d8:88 brd ff:ff:ff:ff:ff:ff ? ?inet 192.168.10.113/24 brd 192.168.10.255 scope global noprefixroute dynamic ens32 ? ? ? valid_lft 1130sec preferred_lft 1130sec ? ?inet6 fe80::f790:5f32:9201:7e7b/64 scope link noprefixroute ? ? ? valid_lft forever preferred_lft forever

測試完成，客戶端通過堡壘機(jī)接口即可選擇登錄到對(duì)應(yīng)內(nèi)網(wǎng)服務(wù)器。