本地Mac经过堡垒机代理实现跨堡垒机scp问题

近日，公司在跳板机前架设了堡垒机，以防止ssh攻击，但这带来一个问题，咱们日常直接ssh跳板机，能够直接使用scp来上传或下载跳板机数据到本地

架设堡垒以后常常使用的scp工具很差用了

因而本期就来解决跨堡垒机实现scp问题，解决方案一样适用阿里云子帐号实现

常见堡垒-跳板-ECS结构拓扑图：

堡垒机、跳板机、服务器处于相同网段，能够直接内网访问，只留下堡垒机一个出口供外部使用

在上述拓扑中，本地和堡垒机实现了ssh便捷登陆（普通堡垒机只须要保存本地公钥便可，阿里云堡垒机需配置子帐号认证）

堡垒机和跳板机实现了ssh便捷登陆，咱们假设本地登陆堡垒机ssh信息以下：

堡垒机开放ssh端口：60022

堡垒机域名：xxxxxx-public.bastionhost.aliyuncs.com

堡垒机IP：47.104.69.199

普通堡垒机登陆：
 admin@AdmindeMacBook-Pro-3 ~: ssh -p 60022 root@47.104.69.199

阿里云堡垒机登陆：（dongxixi为子帐号）

 admin@AdmindeMacBook-Pro-3 ~: ssh -p 60022 dongxixi@xxxxxx-public.bastionhost.aliyuncs.com 

经过以上命令咱们能够轻松登陆堡垒机（普通堡垒机直接登陆，阿里云堡垒机须要继续输入子帐号密码和MFA code）

咱们假设跳板机ssh信息以下(只容许内网访问)：

跳板机开放ssh端口：22

跳板机IP：47.105.21.22

当咱们站在堡垒机上时，能够经过如下命令直接登陆跳板机

root@47.104.69.199 ~：ssh 47.105.21.22

当上述流程都ok时，咱们就开始配置本地ssh，实现跨堡垒机scp了

进入本地ssh配置目录：

admin@AdmindeMacBook-Pro-3 ~: cd ~/.ssh/

编辑config文件

admin@AdmindeMacBook-Pro-3 ~: vi config

若是本地存在config文件则追加，不存在则新建便可，如下配置根据本身实际填写

# 堡垒机配置 Host为别名 HostName能够是解析后的域名，也能够是ip，User为登陆的用户
Host bastion
HostName xxxxx-public.bastionhost.aliyuncs.com # 或 47.104.69.199
User dongxixi
Port 60022

# 跳板机配置
Host jumper
HostName 47.105.21.22
User root
Port 22

Host jumper
ProxyCommand ssh -A -q bastion -W %h:%p

esc + wq!保存退出

 

接下来测试配置是否成功

# 上传测试，若是堡垒机是阿里云堡垒机，回车后会提示输入子帐号密码和MFA code

admin@AdmindeMacBook-Pro-3 ~: scp -r ~/Downloads/test.txt jumper:~/

# 执行后若是没有报错，自行上跳板机查看是否存在相应文件

# 下载测试，若是堡垒机是阿里云堡垒机，回车后会提示输入子帐号密码和MFA code

admin@AdmindeMacBook-Pro-3 ~: scp -r jumper:~/test.txt ~/Downloads

 

多堡垒机、多跳板可在上述方案基础上继续改造！

谢谢！