什么是网络隧道
网络隧道就像一条加密的地下通道,把你的数据从一台电脑安全地送到另一台。比如你在家里想访问公司内网的文件服务器,但公司防火墙不允许直接进入,这时候就可以用网络隧道绕过限制。
常见的场景包括远程办公、跨区域访问资源,或者让家里的NAS被外网访问。很多人在尝试自己搭建时会遇到连接失败、速度慢、配置无效等问题。
常用的隧道工具和命令
SSH 是最简单的隧道方式之一。假设你要通过一台公网服务器中转访问内网的数据库(端口 3306),可以在本地电脑执行:
ssh -L 3306:192.168.1.100:3306 user@public-server.com这条命令的意思是:把本地的 3306 端口映射到内网机器 192.168.1.100 的 3306 上,中间通过 public-server.com 转发。运行后,只要访问 localhost:3306,实际连的就是内网数据库。
连接不上?先检查这几个地方
最常见的问题是防火墙挡住了。比如你用的是 Windows,系统自带防火墙可能阻止了端口监听。打开“高级安全防火墙”,看看入站规则里有没有放行你设置的本地端口。
另一个容易忽略的是 SSH 服务端配置。默认情况下,有些系统禁止端口转发。需要编辑服务器上的 /etc/ssh/sshd_config 文件,确保有这行:
AllowTcpForwarding yes改完记得重启 SSH 服务:sudo systemctl restart sshd。
为什么连上了却打不开网页
有时候浏览器显示“无法连接”,其实是绑定地址的问题。SSH 默认只监听 127.0.0.1,如果你从其他设备访问这台电脑的隧道端口,就会失败。
解决办法是在命令中加上 -g 参数:
ssh -L 8080:target-site.com:80 -g user@server.com这样 SSH 会允许外部设备通过你的电脑 IP 访问 8080 端口,相当于共享了这个隧道。
换个思路:用 frp 做反向隧道
如果你没有公网 IP,也可以用反向隧道。比如你朋友的树莓派在家,想让你能访问它上面的服务,可以用 frp。
在有公网 IP 的服务器上运行 frps,配置文件简单写:
[common]
bind_port = 7000在树莓派上运行 frpc:
[common]
server_addr = x.x.x.x
server_port = 7000
[ssh]
type = tcp
local_ip = 127.0.0.1
local_port = 22
remote_port = 6000启动后,你就能通过公网服务器的 6000 端口 SSH 登录树莓派。这种方式特别适合动态 IP 或被 NAT 困住的设备。
别忘了看日志
出问题时别瞎猜,直接看输出信息。SSH 加上 -v 参数可以开启详细日志:
ssh -v -L 8080:localhost:80 user@server.com你会看到连接阶段每一步发生了什么。如果卡在“Requesting channel open”,可能是服务端限制了端口转发。如果是“Connection refused”,重点查目标服务是否真正在运行。
工具只是手段,关键是理解数据流向。每次建隧道前想清楚:谁发请求?经过哪里?最终到达哪?理清路径,排错就轻松多了。