1、环境

内外网隔离

内网:172.16.0.0/24

外网:192.168.1.0/24

跳板机（跨内外网）ip：192.168.1.254，172.16.0.254，开启ssh服务。

内网办公主机（windows），ip：172.16.0.100，开了3389远程调控。

调试设备，ip：192.168.1.100，有ssh。

2、目的

外网的调试设备（192.168.1.100），通过跳板机的ssh服务建立隧道，登陆内网办公主机（172.16.0.100:3389）。

3、方法

调试设备上运行：

ssh -Cg -L 3388:172.16.0.100:3389 root@192.168.1.254

解析：

-C：压缩传输，提高传输速度。

-g：允许远程主机连接本地用于转发的端口。

-L：指定本地端口转发。

3388：调试设备的监听端口。

172.16.0.100:3389：内网办公主机（windows设备）的IP和端口。

root@192.168.1.254：通过SSH连接到跳板机的用户名和IP。

执行成功后，可以通过访问192.168.1.100的3388端口来访问内网办公主机的3389端口。

4、常见问题

提示channel X: open failed: administratively prohibited: open failed错误信息，通常表明 SSH 服务器主动拒绝了通道的创建请求，产生原因是跳板机（跨内外网）sshd服务设置没有开启一些选项：

编辑跳板机配置文件 /etc/ssh/sshd_config，将以下几项改为yes

(1)允许本地/远程 TCP 端口转发

AllowTcpForwarding yes

(2)允许SSH 隧道

PermitTunnel yes

(3)允许X11 图形界面转发

X11Forwarding yes

最后重新启动服务即可

systemctl restart sshd

效果展示

本机RDP登录：127.0.0.1:3388