Tailscale SSH = 不用公网 IP、不用暴露 22 端口、不用管理 authorized_keys 的零配置 SSH
本质是:SSH over WireGuard ,不走公网, 不暴露 22 端口, 身份由 Tailscale 控制。
两种 Tailscale SSH 实现方式)
模式 A:Tailscale 内置 SSH
模式 B:Tailscale 仅做网络(传统 SSH)
Table of Contents
Tailscale SSH 架构
XShell Client
│
│ SSH request
▼
Tailscale client (tailscaled)
│
│ WireGuard encrypted tunnel
▼
Tailscale client (server)
│
│ 本地 loopback / unix socket
▼
sshd (或内置 SSH handler)
模式 A:Tailscale 内置 SSH
SSH Server:tailscaled 内置
模式 B:Tailscale 仅做网络(传统 SSH)
架构
XShell / XFTP
│
│ SSH (TCP 22)
▼
Tailscale IP (100.x.y.z)
│
│ 内网 WireGuard
▼
Linux sshd
方案 1:防火墙只允许 Tailscale 网段
把 sshd 限制只允许 Tailscale 网段登录
sshd 默认监听 0.0.0.0:22
防火墙只允许 Tailscale 网段,公网全部拒绝
sudo ufw allow from 100.64.0.0/10 to any port 22
sudo ufw deny 22
sudo ufw enable方案 2:sshd 只监听 Tailscale IP
sshd 根本不监听公网网卡,公网扫描直接看不到 22
ip addr show tailscale0
output:100.101.102.103
sudo nano /etc/ssh/sshd_config
ListenAddress 100.101.102.103
sudo systemctl restart ssh
# 查看监听地址
ss -tlnp | grep :22
output:100.x.y.z:22