JumpServer跨网段访问内网服务器——跳板机配置方案

前言:在运维场景中，堡垒机与内网服务器不在同一网段是高频痛点，直接访问会因网络隔离失败。借助JumpServer的"跳板机"功能，可实现跨网段访问，本文分享经优化的两种通用配置方案。

假设环境：

此方案通过部署jms_agent组件实现流量中转，是官方推荐的规范方式，需JumpServer 2.20+版本支持。

登录JumpServer，进入「资产管理」→「资产列表」→ 点击「创建」；
填写资产信息：
- 资产类型：选择「跳板机」（注意：非"系统平台"选项）；
- 名称：自定义（如jump-gateway）；
- 地址：填写跳板机IP；
提交后，进入「网关管理」找到该资产，记录堡垒机服务地址 （如http://your-jump-server:8080）和网关密钥（Secret Key）。

安全注意：网关密钥属于敏感信息，需妥善保存（避免明文存储），仅授予必要运维人员查看权限；同时可为该跳板机资产配置「资产授权」，限制仅特定用户组使用。

登录跳板机，执行官方最新安装脚本：

bash 复制代码

# 下载并安装JumpServer网关代理
curl -sSL https://get.jumpserver.org/agent.sh | bash -s -- gateway

安装过程中，按提示输入：

说明：jms_agent实际通过SSH隧道转发流量，无需手动配置系统路由，兼容性与安全性更优。

bash 复制代码

# 启动jms_agent服务
systemctl start jms_agent

# 设置开机自启
systemctl enable jms_agent

回到JumpServer后台，编辑目标内网资产：

当完成jms_agent配置后，结合网关服务器已开启的 net.ipv4.ip_forward=1（IP转发功能），最终跨网段访问链路为：

JumpServer → 网关服务器（jms_agent所在跳板机） → 网关服务器所在子网的默认网关 → 目标内网网段（如192.168.2.0/24、172.16.3.0/24等）的内网服务器。

无需部署额外组件，借助跳板机的系统网络转发能力实现中转，需跳板机具备跨网段路由能力。

bash 复制代码

# 临时开启（重启后失效）
sysctl -w net.ipv4.ip_forward=1

# 永久开启（需重启系统）
echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf
sysctl -p

核心前提：跳板机需同时连通JumpServer和所有目标内网网段（通过默认网关或静态路由实现）：

bash 复制代码

# 查看当前路由表（确认包含内网网段路由）
route -n

# 若缺少内网网段路由，手动添加（以192.168.1.0/24为例）
route add -net 192.168.1.0/24 gw 内网网关IP dev 网卡名

同方案一的「步骤1」，创建对应跳板机的"跳板机"类型资产。

同方案一的「步骤4」，将内网资产的接入节点设为该跳板机。

版本说明：此方案对JumpServer版本无特殊限制（2.0+主流版本均支持）。

此方案下，结合网关服务器已开启的 net.ipv4.ip_forward=1（IP转发功能），跨网段访问的完整链路为：

JumpServer → 网关服务器（已配置路由的跳板机） → 网关服务器所在子网的默认网关 → 目标内网网段（如192.168.2.0/24、172.16.3.0/24等）的内网服务器。

方案	优势	适用场景
jms代理（标准化）	官方维护、SSH隧道更安全、无需手动配路由	规范部署、多环境复用场景
系统网络路由（轻量）	无额外组件、依赖系统原生能力	跳板机已具备跨网段路由能力

jms_agent安装失败 ：
- 检查网络是否能访问JumpServer官方资源；
- 确认使用的是官方最新安装脚本（避免404）。
内网资产连接失败 ：
- 验证跳板机IP转发是否开启（sysctl net.ipv4.ip_forward）；
- 查看jms_agent日志（tail -f /var/log/jms_agent/jms_agent.log）；
- 测试跳板机与目标内网服务器的ping连通性。