一、简介:为什么必须掌握 socat?
netcat 老了:nc 不支持 IPv6、SSL、fork 并发、串口参数细粒度控制,项目 2007 后基本停更。
socat 持续进化:支持 100+ 协议与机制,官方称“Socket CAT——把任何双端数据流拼接起来”。
实战场景
内网穿透:公网主机 ←→ socat ←→ 内网数据库
升级加密:旧服务不支持 TLS,socat 前端加壳
OPENSSL:串口调试:远程 Linux 通过 TCP 访问本地
/dev/ttyUSB0应急文件传:两台服务器 SSH 端口被防火墙屏蔽,用
socat TCP:直传。
一句话:会用 socat,你就拥有“任意协议转换器”。
二、核心概念:5 个关键词先搞懂
| 名词 | 一句话说明 | 本文出现形式 |
|---|---|---|
| address | socat 把“数据源”抽象成 address,如TCP:127.0.0.1:3306 | 左端 ←→ 右端 |
| channel | 双端数据流,可以是文件、管道、套接字、串口、SSL 等 | 100+ 类型 |
| fork | 为每个连接克隆进程,实现并发服务器 | fork选项 |
| retry / interval | 断线自动重连,间隔 N 秒 | retry=10 interval=2 |
| openssl | 在任意地址上加 TLS 加密 | OPENSSL:IP:port |
三、环境准备:3 分钟完成安装
系统
Ubuntu 20.04+ / CentOS 8+ / Debian 11+(内核 ≥3.10 即可)
安装
# Ubuntu / Debian sudo apt update && sudo apt install -y socat # CentOS / RHEL sudo dnf install -y socat || sudo yum install -y socat验证版本
socat -V # 应显示 1.7.x +实验目录
mkdir -p ~/socat-lab && cd ~/socat-lab
四、实际案例与步骤:由浅入深 6 大关卡
每个命令 100% 可复制,左边
tmux开 2 窗,一边服务端一边客户端即可实时看效果。
4.1 基础:TCP 端口转发(“穷人的 nginx stream”)
场景:A 主机(公网)把 8080 转发到 B 主机(内网)3306
+--------+ +--------+ +--------+ | Client | ---> | A:8080| ---> |B:3306 | +--------+ +--------+ +--------+A 主机执行
# -d 打印调试,fork 支持并发 socat -d TCP-LISTEN:8080,fork TCP:192.168.1.100:3306Client 测试
mysql -h 公网IP -P 8080 -u root -p成功标志:MySQL 握手正常,socat调试日志出现transferring data。
4.2 文件传输:两台机 SSH 被禁,临时传大文件
场景:C 主机/data/big.iso→ D 主机,无 SSH、无 FTP
接收端 D
# 监听 9876,收到的数据重定向到文件 socat -u TCP-LISTEN:9876,reuseaddr open:/tmp/big.iso,create发送端 C
# -u 单向模式,读完 EOF 自动结束 socat -u file:/data/big.iso TCP:10.0.0.5:9876进度查看:ls -lh /tmp/big.iso实时增长。
4.3 串口通信:远程调试路由器 / 树莓派
场景:本地/dev/ttyUSB0(115200 8N1)→ 通过 TCP 让远程主机访问
串口主机
socat -d -d TCP-LISTEN:2000,reuseaddr,fork file:/dev/ttyUSB0,nonblock,raw,echo=0,baudrate=115200远程客户端
socat - TCP:串口主机IP:2000立刻进入串口控制台,无需 ssh 到串口主机。
4.4 加密隧道:给旧 HTTP 服务加 SSL(自签证书)
步骤
生成证书
openssl req -newkey rsa:2048 -nodes -keyout cert.key -x509 -days 365 -out cert.crt cat cert.key cert.crt > server.pemSSL 前端
socat OPENSSL-LISTEN:8443,fork,cert=server.pem,verify=0 TCP:127.0.0.1:80客户端访问
curl -k https://localhost:8443
成功标志:curl 返回 200,socat 日志SSL connected。
4.5 UDP 转发:DNS 内网穿透
场景:公网主机 53 → 内网 192.168.1.10:53
socat -d UDP-LISTEN:53,fork UDP:192.168.1.10:53验证:
dig @公网IP www.example.com4.6 多路复用:把控制台 + 日志同时发两份
场景:调试嵌入式板卡,既要本地屏幕打印,又要远程 TCP 保存
# 一端读串口,另一端 tee 给屏幕+tcp socat file:/dev/ttyUSB0,nonblock,raw,echo=0 \ 'EXEC:tee /dev/tty | socat - TCP:远程IP:3000'远程
socat - TCP:3000 > uart.log五、常见问题与解答(FAQ)
| 问题 | 现象 | 解决 |
|---|---|---|
E bind: Address already in use | 端口被占 | 加reuseaddr选项或换端口 |
| 传输大文件自动断 | >2GB 时断开 | 加,pf=ip4禁用 IPv6 映射;老版本升级 1.7.x |
| 串口打印乱码 | 波特率/数据位错 | 明确baudrate=115200,raw,echo=0 |
客户端连接后立刻EOF | 未加fork | 服务端加fork保持长驻 |
| 防火墙阻断 | 连接超时 | 开放对应 TCP/UDP 端口,firewall-cmd --add-port=xxx/udp |
六、实践建议与最佳实践
调试必加
-d -d
两级调试可打印握手、字节数、断开原因,排错神器。生产环境用
systemd保活# /etc/systemd/system/socat-fwd.service [Unit] Description=Socat TCP Forward After=network.target [Service] ExecStart=/usr/bin/socat -d TCP-LISTEN:8080,fork TCP:10.0.0.5:80 Restart=always RestartSec=3 [Install] WantedBy=multi-user.target然后
sudo systemctl enable --now socat-fwd断线自动重连
客户端加retry=10 interval=2:socat - TCP:server:8080,retry=10,interval=2SELinux 放通
sudo setsebool -P socat_can_connect 1 # CentOS 8 已内置布尔值结合 supervisor / docker
把 socat 当 sidecar 容器,随时启停,不污染宿主机。安全:证书校验
生产去掉verify=0,使用 CA 签名校验,防止中间人。
七、总结:一张脑图带走全部要点
socat 实战 ├─ 地址类型:TCP / UDP / file / exec / openssl / stdio ├─ 必加选项:fork reuseaddr retry ├─ 场景: │ ├─ 端口转发:TCP-LISTEN <--> TCP: │ ├─ 文件传输:file: <--> TCP: │ ├─ 串口远程:file:/dev/ttyUSB0 <--> TCP: │ ├─ 加密隧道:OPENSSL-LISTEN <--> TCP: │ └─ UDP 穿透:UDP-LISTEN <--> UDP: └─ 最佳实践:systemd 保活 + 日志 + 重连 + SELinux掌握 socat,你就拥有任意协议、任意方向、任意加密的“数据任意门”:
开发:本地 80 端口被占?
socat TCP-LISTEN:8080,fork TCP:80秒级转发。测试:后端没好?mock 服务
socat - TCP:localhost:3306直接看 SQL 报文。运维:老设备只支持串口,远程调试无需搬电脑。
立刻打开终端,复制本文命令敲一遍——10 分钟后,你就再也不用“netcat 勉强够用”的尴尬!
