概览

实现 SSH 免密登录，并让云服务器流量转发到本地端口，通过代理再返回。

免密登录

打开 ~/.ssh/config，写入：

Host <server ip>
    HostName <server ip>
    User root           # 默认为 root 用户
    Port 22             # SSH 默认端口

打开 Cursor 的 Remote Explorer，会看到多了 <server ip> 这个选项。

现在配置免密

本机生成密钥

1	ssh-keygen -t ed25519 # 随便取一个文件名

公钥写入服务器

1	ssh-copy-id ~/.ssh/id_ed25519.pub <user>@<server-ip>

验证免密登录

打开 Cursor 的 Remote Explorer，直接点击配置的 <server ip>；也可以使用命令行：

1	ssh <user>@<server-ip>

端口转发与代理

原理

建立与云服务器的 SSH 正向隧道后，再搭建一条反向隧道（云服务器 -> 本机）。以下以 “云服务器 1080 端口 ↔ 本机 7897 端口” 为例：

云服务器访问外网时，将流量统一发到 1080 端口。
反向隧道把 1080 端口的流量转发到本机 7897。
本机 7897 端口交给代理软件，按节点分发，再把结果回传给云服务器。

实现

提供三种实现方法，实现方法三选一即可, 但是前置步骤要完成

前置步骤

在代理软件的端口设置中开启混合端口转发（以 7897 为例）。
在云服务器中配置环境变量，统一走 1080 端口。编辑 ~/.bashrc：

# 检查代理是否可用并自动选择代理或直连
PROXY_SERVER="127.0.0.1"
PROXY_PORT="1080"

# 测试代理是否可用
if curl -x socks5://$PROXY_SERVER:$PROXY_PORT -s --head --max-time 5 https://www.google.com | grep "HTTP/1.1 200 OK" > /dev/null 2>&1; then
    echo "代理可用，使用代理"
    export ALL_PROXY=socks5://$PROXY_SERVER:$PROXY_PORT
    export HTTP_PROXY=$ALL_PROXY
    export HTTPS_PROXY=$ALL_PROXY
else
    echo "代理不可用，切换到直连"
    unset ALL_PROXY
    unset HTTP_PROXY
    unset HTTPS_PROXY
fi

保存后运行 source ~/.bashrc 使其生效。

编辑 /etc/ssh/sshd_config，将以下参数取消注释并设为 yes：
- AllowTcpForwarding：允许 SSH 客户端发起本地/远程端口转发。
- GatewayPorts：远程端口转发可绑定 0.0.0.0/::。
- PermitTunnel：允许基于 SSH 的三层隧道。

三种方法

注: 三种方法在云服务器上绑定的端口都是 1080, 最好用完一个方法就关闭, 而不是一起使用, 否则可能造成端口冲突

写入本地 SSH 配置
在 ~/.ssh/config 中（基于免密配置）写入：

Host <server ip>
    HostName <server ip>
    User root
    Port 22
    # 追加下面三条即可
    RemoteForward 1080 localhost:7897
    ServerAliveInterval 30
    ServerAliveCountMax 3

写好后，Cursor 远程连接服务器时会自动启动反向隧道。

使用脚本与工具保持隧道
- 普通 SSH，一旦关闭终端会话就会断开：
1
2
ssh -M 0 -f -N -v -o ServerAliveInterval=30 -o ServerAliveCountMax=3 \
-i ~/.ssh/<key file name> -R 1080:localhost:7897 <user>@<server ip>
- 使用 autossh 可以保持连接，先通过 Homebrew 安装：
1
brew install autossh
再写脚本方便启动和提示：

# 文件名 start_ssh_tunnel.sh
autossh -M 0 -f -N -v -o ServerAliveInterval=30 -o ServerAliveCountMax=3 -i ~/.ssh/<key file name> -R 1080:localhost:7897 <user>@<server ip>

if [ $? -eq 0 ]; then
  echo -e "\033[32m✅ 隧道启动成功！\033[0m"
  echo -e "📌 验证方法："
  echo -e "  1. Mac 端查看进程：ps aux | grep autossh"
  echo -e "  2. 服务器端查看端口：ss -tulnp | grep :1080"
  echo -e "  3. 关闭隧道：pkill autossh"
else
  echo -e "\033[31m❌ 隧道启动失败！\033[0m"
  echo -e "🔍 可能原因："
  echo -e "  1. autossh 未安装（执行 brew install autossh）"
  echo -e "  2. 密钥路径错误（当前路径：~/.ssh/id_rsa）"
  echo -e "  3. 服务器 1080 端口被占用"
fi

后续操作：

# 打开端口转发
./start_ssh_tunnel.sh

# 关闭端口转发
pkill autossh

# 查看 autossh 相关进程（含 grep 本身）
ps aux | grep autossh

Termius 配置端口转发
在 Termius 左侧 Port Forwarding 中新建规则：
- Remote host: <server ip>
- Remote port: 1080
- Bind address: 127.0.0.1
- Destination address: 127.0.0.1
- Destination port: 7897
没搞懂 Bind address 和 Destination address 的区别
不过确认 Termius 显示 From <server ip>:1080 to 127.0.0.1:7897 即表示已连通，启用后再连接服务器即可完成转发。

测试

测试要使用 curl, 而不能使用 ping
因为 ping 基于 ICMP 协议, 运行在网络层，而我们配置的 SSH 端口转发 + 代理仅支持 TCP/UDP 协议，ICMP 数据包无法通过代理隧道转发

# 请求国内网络
curl -v https://baidu.com

# 请求国外网络
curl -v https://google.com

文章作者: Fish

文章链接: http://example.com/2025/11/26/%E6%9C%8D%E5%8A%A1%E5%99%A8%EF%BC%9A%E6%B5%81%E9%87%8F%E7%AB%AF%E5%8F%A3%E8%BD%AC%E5%8F%91%E4%B8%8E%E4%BB%A3%E7%90%86/

服务器

相关推荐

2025-12-01

服务器：Ollama本地部署大模型与公网服务器内网穿透

概览Windows 机使用 ollama 本地部署 qwen，云服务器使用内网穿透与 Windows 机连接，实现其他机器（如 Mac）远程调用 Windows 运行的大模型服务。 ollama 本地部署大模型安装与验证在 ollama 官网下载对应操作系统版本本地 cmd 输入 ollama，检测是否安装成功 1ollama 拉取与运行模型拉取模型到本地，以 qwen2.5:3b-instruct 为例： 1ollama pull qwen2.5:3b-instruct 拉取完成后，运行模型，检查模型是否正常输出，检查本地 GPU 是否有资源占用（防止模型使用 CPU 运行，降低运行效率）： 1ollama run qwen2.5:3b-instruct 测试直接使用命令行交互式测试，或使用 curl 命令调用 API 测试： 1234curl http://localhost:11434/api/generate -d '{ "model": "qwen2.5:3b-instruct", ...

2025-12-02

服务器：自定义域名配置CNAME解析

配置 CNAME 的通用步骤这篇笔记整理了任何云服务场景下（CDN、OSS、云服务器等）配置 CNAME 的通用流程。核心分为四部分：前置准备获取目标 CNAME 值在 DNS 解析中添加 CNAME 记录验证是否生效以下的例子假设你已经注册了 example.com 域名, 并想要通过配置 CNAME, 来自定义域名 wwww.example.com 提供的服务一、前置准备：确认核心前提域名所有权确保你拥有需要配置 CNAME 的域名（如 www.example.com）的管理权限，能够登录到域名注册商或云解析控制台，修改 DNS 记录。清理冲突记录CNAME 记录与同名的 A / AAAA / MX 记录互斥，不能共存。在添加 CNAME 之前，先删除该主机记录下已经存在的： A 记录 AAAA 记录 MX 记录二、获取 CNAME从对应服务提供商处获取需要指向的 CNAME 地址，例如： CDN 提供的调度域名 OSS/对象存储的专属访问域名第三方服务（如邮件、监控、验证服务）提供的别名域名三、配置 DN...