SSH & autossh — Port forwarding (Local, Remote, Dynamic) và các tham số quan trọng

Mở đầu

SSH tunnel là con dao nhỏ gọn nhất trong toolbox của DevOps: truy cập database nội bộ qua bastion, expose dịch vụ local ra Internet, đi vòng qua firewall hạn chế, mở SOCKS proxy để duyệt qua đầu kia. Nhưng SSH tunnel chỉ tốt khi nó không tự rớt — và đây là chỗ autossh bù vào: giám sát ssh, tự restart khi kết nối chết.

Bài này tổng hợp 3 mode forwarding (-L, -R, -D), các tham số đi kèm bắt buộc phải nhớ (-f -N -T, ServerAliveInterval, ExitOnForwardFailure, GatewayPorts), và autossh với -M 0 + biến môi trường. Mọi lệnh trong bài đã được test trực tiếp bằng Docker container linuxserver/openssh-server + Python http.server hai phía host/container.

1. Mental model — 3 mode port forwarding

Trước khi đi vào lệnh, phải hiểu hướng đi của data. Gọi A là máy bạn gõ ssh, B là máy bạn ssh vào.

Cú pháp chung:

ssh -L [bind_addr:]LOCAL_PORT:DEST_HOST:DEST_PORT user@B
ssh -R [bind_addr:]REMOTE_PORT:DEST_HOST:DEST_PORT user@B
ssh -D [bind_addr:]LOCAL_PORT user@B

Quan trọng: DEST_HOST trong -L được resolve từ phía B (sau khi data đi qua tunnel). Ngược lại, DEST_HOST trong -R resolve từ phía A. Nhầm 2 cái này là lỗi #1 khi mới dùng tunnel.

2. Local forwarding (-L) — truy cập dịch vụ phía sau bastion

Tình huống kinh điển: PostgreSQL chạy trong VPC private, chỉ bastion (B) ssh vào được. Bạn muốn dùng DBeaver/psql từ máy laptop (A) connect vào nó.

ssh -fN -L 15432:db.internal:5432 [email protected]
psql -h 127.0.0.1 -p 15432 -U app appdb

Khi DBeaver/psql kết nối tới 127.0.0.1:15432 trên A, SSH bốc gói tin, chui qua tunnel, tới B, B mở socket tới db.internal:5432 — đúng như B đang nói chuyện với DB.

2.1. Bind address — chặn người khác trên LAN dùng chung tunnel

Mặc định -L bind vào localhost (an toàn). Nếu bạn muốn share tunnel cho máy khác trong LAN, prefix bind address:

# Chỉ máy A dùng được (mặc định, an toàn)
ssh -fN -L 15432:db.internal:5432 user@bastion

# Cho mọi interface — đồng nghiệp trên LAN cũng connect được
ssh -fN -L 0.0.0.0:15432:db.internal:5432 user@bastion

Mở 0.0.0.0 nghĩa là ai đó trong cùng LAN cũng có thể truy cập DB qua máy bạn — chỉ làm khi cần thiết và bạn hiểu rủi ro.

2.2. Forward nhiều port một lúc

Lặp -L bao nhiêu lần tùy thích:

ssh -fN \
  -L 15432:db.internal:5432 \
  -L 16379:redis.internal:6379 \
  -L 19200:es.internal:9200 \
  user@bastion

3. Remote forwarding (-R) — expose máy local ra ngoài

Bạn đang dev Next.js trên laptop ở localhost:3000, muốn cho đồng nghiệp test mà không deploy. Bạn có một VPS công khai vps.example.com:

ssh -fN -R 8080:127.0.0.1:3000 [email protected]

Mọi request tới vps.example.com:8080 đi qua tunnel về laptop, vào localhost:3000. Đây chính là cách ngrok/cloudflared tunnel hoạt động bên dưới — chỉ khác là chúng tự lo TLS + subdomain.

3.1. Vấn đề mặc định: -R bind loopback ở B

Đây là chỗ rất nhiều người vấp. Lệnh trên về mặc định chỉ làm B mở port trên loopback (127.0.0.1:8080) — đồng nghiệp ngoài Internet vẫn không vào được. Test trực tiếp trong môi trường Docker:

# -R 19093 mặc định -> server netstat:
tcp  0  0 127.0.0.1:19093  0.0.0.0:*  LISTEN
tcp  0  0 ::1:19093        :::*       LISTEN

Để bind ra mọi interface, cần cả hai điều kiện:

1. Server sshd_config có GatewayPorts clientspecified (hoặc yes).

2. Client truyền -R 0.0.0.0:8080:127.0.0.1:3000.

# Trên VPS, sửa /etc/ssh/sshd_config:
GatewayPorts clientspecified
# Reload sshd: systemctl reload ssh

# Trên laptop:
ssh -fN -R 0.0.0.0:8080:127.0.0.1:3000 [email protected]

# Server netstat sau khi sửa:
# tcp  0  0 0.0.0.0:19094  0.0.0.0:*  LISTEN  ✓

4. Dynamic forwarding (-D) — SOCKS5 proxy

Khi bạn muốn duyệt nhiều đích khác nhau qua B (vd: truy cập toàn bộ mạng nội bộ company qua bastion), không thực tế để mở -L cho từng host. -D mở một SOCKS5 proxy local — mọi app hỗ trợ SOCKS đều dùng được:

ssh -fN -D 1080 user@bastion

Cấu hình app (Firefox: Settings → Network Settings → Manual SOCKS5 proxy 127.0.0.1:1080), hoặc dùng curl trực tiếp:

curl --socks5-hostname 127.0.0.1:1080 http://intranet.internal/

Chú ý dùng --socks5-hostname chứ không phải --socks5 — flag -hostname bảo curl gửi cả hostname qua proxy để DNS resolve từ phía bastion, đảm bảo tên nội bộ kiểu db.internal giải được.

5. Bộ cờ đi kèm — bắt buộc phải nhớ

Riêng -L/-R/-D chưa đủ. Trong thực tế bạn luôn dùng kèm:

Combo "tunnel chạy nền chuẩn":

ssh -fNT -i ~/.ssh/key -p 22 -L 15432:db.internal:5432 user@bastion

5.1. ServerAliveInterval / ServerAliveCountMax — phát hiện kết nối chết

SSH client không tự biết server biến mất (firewall NAT bỏ entry, máy server mất điện). Nó cứ tưởng kết nối vẫn còn — tunnel im lặng treo. Hai option này bắt client gửi keepalive định kỳ và đóng kết nối nếu không thấy phản hồi:

ssh -fNT \
  -o ServerAliveInterval=30 \
  -o ServerAliveCountMax=3 \
  -L 15432:db.internal:5432 user@bastion

• ServerAliveInterval=30: 30s không có traffic thì gửi keepalive.

• ServerAliveCountMax=3: gửi 3 keepalive liên tiếp không phản hồi (=90s) thì ssh tự exit với status 255.

Đây chính là tín hiệu mà autossh bắt để biết "đến lúc restart" — bắt buộc phải có khi dùng với autossh.

5.2. ExitOnForwardFailure=yes — đừng chạy nếu forward fail

Mặc định, nếu ssh không bind được local port (port đã có người dùng), nó vẫn chạy tiếp — bạn nghĩ tunnel đang lên nhưng thực tế chẳng có gì. Option này ép ssh exit ngay khi setup forward thất bại:

ssh -fNT -o ExitOnForwardFailure=yes -L 15432:db.internal:5432 user@bastion
# stderr nếu port bị chiếm:
# bind [127.0.0.1]:15432: Address already in use
# channel_setup_fwd_listener_tcpip: cannot listen to port: 15432
# Could not request local forwarding.

Không có option này, ssh sẽ in cảnh báo rồi vẫn chạy nền — autossh không thấy lỗi, không restart, mà tunnel thì chết.

5.3. Các option khác hay dùng

• -o StrictHostKeyChecking=accept-new — tự thêm host key mới vào known_hosts (không hỏi tay), nhưng vẫn block nếu key đã biết bị đổi. An toàn hơn =no.

• -o ConnectTimeout=10 — bỏ cuộc nếu TCP handshake quá 10s.

• -o TCPKeepAlive=yes — bật TCP-level keepalive (khác với ServerAlive nằm trên SSH layer).

• -C — bật nén; chỉ có lợi khi qua link chậm + dữ liệu nén tốt (HTML, JSON). Với binary/video, tắt đi.

6. autossh — giữ tunnel luôn sống

SSH client tự nó không reconnect. Khi mạng chập chờn, ssh chết là tunnel chết. autossh là wrapper bao quanh ssh: nó spawn ssh, giám sát, và respawn khi ssh thoát với lỗi.

brew install autossh        # macOS
apt install autossh          # Debian/Ubuntu
dnf install autossh          # Fedora/RHEL

6.1. -M 0 — pattern khuyên dùng hiện nay

Tài liệu cũ thường viết -M 20000 — autossh mở một port giám sát riêng và echo data qua nó. Cách này có vấn đề: cần thêm 2 port forward, và đôi khi false positive. Pattern hiện đại là -M 0 — tắt monitor port, để ServerAliveInterval đảm nhiệm việc phát hiện chết:

autossh -M 0 -f -N \
  -o ServerAliveInterval=30 \
  -o ServerAliveCountMax=3 \
  -o ExitOnForwardFailure=yes \
  -L 15432:db.internal:5432 user@bastion

Cờ -f ở đây thuộc autossh, không phải ssh — autossh tự fork. Khi đó AUTOSSH_GATETIME được set về 0 tự động (xem mục 6.2).

6.2. Biến môi trường quan trọng

Ví dụ production-grade:

AUTOSSH_GATETIME=0 \
AUTOSSH_LOGFILE=/var/log/autossh-db.log \
AUTOSSH_PIDFILE=/run/autossh-db.pid \
autossh -M 0 -f -N \
  -o ServerAliveInterval=30 \
  -o ServerAliveCountMax=3 \
  -o ExitOnForwardFailure=yes \
  -o StrictHostKeyChecking=accept-new \
  -i /etc/ssh/autossh_key \
  -L 15432:db.internal:5432 deploy@bastion

6.3. Bằng chứng autossh hoạt động — test thực tế

Tunnel đang sống, server bị tắt → autossh thấy ssh exit 255 → restart liên tục → server bật lại → tunnel hồi phục. Log ghi rõ:

autossh: port set to 0, monitoring disabled
autossh: starting ssh (count 1)
autossh: ssh child pid is 27247
autossh: ssh exited with error status 255; restarting ssh
autossh: starting ssh (count 2)
...
autossh: starting ssh (count 31)
# (server đã sống lại, ssh kết nối thành công, tunnel hồi phục)

Với AUTOSSH_MAXSTART=3:

autossh: starting ssh (count 1 of 3)
autossh: ssh exited with error status 255; restarting ssh
autossh: starting ssh (count 2 of 3)
autossh: ssh exited with error status 255; restarting ssh
autossh: starting ssh (count 3 of 3)
autossh: ssh exited with error status 255; restarting ssh
autossh: max start count reached; exiting

7. Chạy autossh như một systemd service

Trên server production, không gõ tay rồi để treo — package nó vào systemd:

# /etc/systemd/system/tunnel-db.service
[Unit]
Description=Persistent SSH tunnel to internal DB
After=network-online.target
Wants=network-online.target

[Service]
User=tunnel
Environment=AUTOSSH_GATETIME=0
Environment=AUTOSSH_LOGFILE=/var/log/autossh-db.log
ExecStart=/usr/bin/autossh -M 0 -N \
  -o ServerAliveInterval=30 \
  -o ServerAliveCountMax=3 \
  -o ExitOnForwardFailure=yes \
  -o StrictHostKeyChecking=accept-new \
  -i /home/tunnel/.ssh/id_ed25519 \
  -L 0.0.0.0:15432:db.internal:5432 \
  [email protected]
Restart=always
RestartSec=10

[Install]
WantedBy=multi-user.target

Lưu ý: không dùng -f trong systemd — systemd quản fork-mode sẵn (Type=simple mặc định cần process chạy foreground). -f + systemd = service báo "failed start" vì process gốc thoát ngay.

systemctl daemon-reload
systemctl enable --now tunnel-db.service
systemctl status tunnel-db

8. Các lỗi hay gặp và cách debug

8.1. channel X: open failed: administratively prohibited

Server đã chặn TCP forwarding. Sửa /etc/ssh/sshd_config:

AllowTcpForwarding yes
# hoặc giới hạn:
AllowTcpForwarding local    # chỉ -L
AllowTcpForwarding remote   # chỉ -R

Reload sshd sau khi sửa: systemctl reload ssh.

8.2. bind: Address already in use

Port local đã có người chiếm. Tìm và kill:

lsof -iTCP:15432 -sTCP:LISTEN
# hoặc:
ss -tlnp | grep 15432

8.3. Tunnel "sống" nhưng không thông

Triệu chứng: curl 127.0.0.1:15432 stall mãi. Nguyên nhân thường gặp: DEST_HOST không resolve được từ phía server B. Thử ssh vào B rồi nc -vz db.internal 5432 — nếu fail thì vấn đề ở DNS/network của B, không phải tunnel.

8.4. -R bind không ra ngoài

Đã giải thích ở mục 3.1 — quên GatewayPorts clientspecified phía server, hoặc quên 0.0.0.0: phía client.

8.5. autossh restart liên tục không dừng

Thường do StrictHostKeyChecking hỏi và ssh fail ngay (vì autossh chạy nền, không có TTY trả lời prompt). Thêm -o StrictHostKeyChecking=accept-new hoặc đảm bảo host key đã có trong known_hosts trước khi enable service.

Tóm tắt

• 3 mode forwarding: -L mở port ở local đi tới đích nhìn từ remote; -R mở port ở remote đi tới đích nhìn từ local; -D mở SOCKS5 proxy ở local.

• Combo chuẩn cho tunnel nền: -fNT + ServerAliveInterval=30 + ServerAliveCountMax=3 + ExitOnForwardFailure=yes.

• GatewayPorts clientspecified phía server + -R 0.0.0.0:port:... phía client để expose remote forward ra ngoài.

• autossh -M 0 là pattern hiện đại — tắt monitor port, dùng ServerAliveInterval để phát hiện kết nối chết.

• Biến môi trường autossh quan trọng: AUTOSSH_GATETIME=0 (luôn với -f), AUTOSSH_LOGFILE (debug), AUTOSSH_MAXSTART (đặt giới hạn để không chạy mãi).

• Production deploy: gói vào systemd service với Restart=always, bỏ -f để systemd quản fork.

Mọi lệnh trong bài đã được verify bằng container Docker linuxserver/openssh-server + Python http.server — không có lệnh nào "copy từ Google rồi đoán".