ssh端口转发实例

最新推荐文章于 2022-05-21 11:42:11 发布
最新推荐文章于 2022-05-21 11:42:11 发布
阅读量519 收藏 1
点赞数
分类专栏: 网络 文章标签: 网络 proxy
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/duke_ding2/article/details/106878081
版权

案例1

在SoftLayer里的一台机器 10.121.196.144 需要访问github,但是无法直接访问。

网络连通性如下:

github <== SVL SDS server ==> SL jumper ==> 10.121.196.144

由于SDS server能连通github,所以可以借助SDS serverSL jumper,从而让 10.121.196.144 能够连通github。

 

具体实现如下:

SL jumper上:

ssh -qTfnN -R 60000:localhost:60000 idcuser@10.121.196.144

这条命令表示,建立一个ssh远程转发,把发到 10.121.196.144 的60000端口的请求,转发到localhost的60000端口。

注意,这里的localhost,实际上指的是SL jumper

 

注:远程转发(-R)与本地转发(-L)的区别:

ssh连接分为client和server,建立的tunnel也分client和server,如果希望二者方向是一致的,就用Local;如果相反,就用remote。

本例中,ssh client是SL jumper,ssh server是10.121.196.144,而想要建立的tunnel,是反过来的,从10.121.196.144SL jumper,所以用remote。

如果想用local,则应以10.121.196.144为ssh client。但是,从10.121.196.144无法ssh到SL jumper,所以只能把SL jumper作为ssh client,并用remote。

 

不管是-L还是-R,后面的<port1> : <host> : <port2>里面:

  • port1:都是tunnel client的端口;
  • port2:都是目的地的端口;
  • host:转发的目的地。如果是localhost,都是指tunnel server本身(因为也可以转发到其它机器上去);

也就是说,这个ssh tunnel,会把tunnel client的指定端口的请求,转发到“host”(可以是tunnel server,也可以是tunnel server能够access的其它机器)的指定端口。

注意,这个tunnel里指定了tunnel client的端口,但并没有指定tunnel server的端口。

 

接下来,因为SL jumper无法ssh到SDS server,所以同理,要从SDS server上建立一个反向tunnel。

SDS server上:

ssh -qTfnN -R 60000:github.rtp.raleigh.ibm.com:22 sljump

可见,这是一个remote转发,会把发到SL jumper的60000端口的请求,转发到github的22端口。

注意:这里tunnel server不是localhost(指的是SDS server),而是github。

当然,ssh tunnel只是从SL jumperSDS server,从后面从SDS server到github,并不是ssh,而是tunnel client本身的请求而定。ssh tunnel只是代理了从tunnel client到tunnel server这一段。

 

实现效果:

现在,在10.121.196.144上,可以把localhost的60000端口视为github的22端口,即可以通过ssh方式访问了:

[idcuser@cdsmon-wei-01 cdsmon-e2e]$ git remote -v
origin    ssh://git@localhost:60000/cds-delivery/cdsmon-e2e.git (fetch)
origin    ssh://git@localhost:60000/cds-delivery/cdsmon-e2e.git (push)

 

我觉得不管用local还是remote方式,都是实现了一个反向代理。

  • 所谓正向代理,proxy代理的是client。client知道自己被代理,client把请求通过proxy发送到server,server只知道proxy不知道client;
  • 所谓反向代理,proxy代理的是server。client只知道proxy不知道server,client把请求发给proxy,proxy再转发给server;

对于SSL tunnel,不管用local还是remote方式创建,最终都是实现了从tunnel client访问localhost的某端口时,转发到了指定的server和端口,显然代理的是server。因此,这是一个反向代理。

 

案例2

有些网站无法直接访问。

既然SDS server可以访问,就可以建立ssh tunnel,实现一个正向代理(这回又变成正向了。。。)。

以我的Mac为例,网络连通性如下:

Mac ==> SDS server ==> 网站

可以利用Mac 到 SDS server 的连通性,建立一个动态转发(-D)。

在Mac上:

ssh -o ExitOnForwardFailure=yes -qTfN -D 8888 kaiding@sdsvm902066.svl.ibm.com

该命令在本地建立了一个SOCKS代理服务,当有请求连接到该端口(本例中是8888)时,就会转发到remote server(本例中是 sdsvm902066.svl.ibm.com )。然后从remote server,那个请求本身再被用起来(比如请求的服务器地址、端口、协议等)。

说白了就是建立了一个正向代理(SOCKS代理)。在浏览器里设置好该代理,就能访问网站了。

比如我的Mac的Chrome浏览器,使用了SwitchyOmega插件,其设置的代理为SOCKS 5,server是127.0.0.1,端口是8888。

Firefox浏览器的代理设置如下图所示:

注:如果希望使用代理服务器的DNS,则需勾选“Proxy DNS when using SOCKS v5”选项。

 

案例3

想要在Mac上访问http://10.xx.xx.xx的URL。该案例和案例2非常类似,唯一不同是中间多了一层。网络连通性如下:

Mac ==> SDS server ==> sljumper ==> 10.xx.xx.xx

首先,在SDS server上建立一个到SL jumper的动态转发。

ssh -o ExitOnForwardFailure=yes -qTfnN -D 6666 sl

然后,在Mac上建立一个到SDS server的local tunnel。

ssh -o ExitOnForwardFailure=yes -qTfnN -L 6666:localhost:6666 sdsvm902066.svl.ibm.com

最后在浏览器里设置代理为 localhost:6666 即可。

 

注:本来我想,不需要第2步了,直接在浏览器里面,设置代理为sdsvm902066.svl.ibm.com:6666不就行了吗。

但是这个方法不可行,因为在Mac上SDS server的6666端口nc不通(在SDS server上可以nc通本地的6666端口)。

➜  ~ nc -zv sdsvm902066.svl.ibm.com 6666
nc: connectx to sdsvm902066.svl.ibm.com port 6666 (tcp) failed: Connection refused

但这并不是防火墙的问题,因为我在SDS server上用nodejs起一个HTTP server,比如起到3000端口,则在Mac上也能ncSDS server的3000端口。但是若把ssh tunnel开在3000端口,则在Mac上就nc不通了。

所以,只好用第2步,在本地和SDS server之间建立一个tunnel,然后把代理设置成本地。

 

注:对这个案例,如果不用浏览器代理,也不用动态转发,也有一个笨办法。假设要访问的URL是http://10.107.28.250:8080/seyren

首先在SDS server上:

ssh -qTfnN -L 7777:10.107.28.250:8080 sl

即:把访问SDS server的7777端口的请求,通过tunnel,转发到10.107.28.250的8080端口上来;

然后在Mac上:

ssh -qTfnN -L 7777:localhost:7777 sdsvm902066.svl.ibm.com

即:把访问Mac的7777端口的请求,通过tunnel,转发到SDS server(即上面的localhost)的7777端口上来;

现在,只需打开浏览器,访问 http://localhost:7777/seyren ,就相当于在SL jumper上访问 http://10.107.28.250:8080/seyren 了。

但是这个方法不具有通用性,对每个URL都要维护2个tunnel和1个端口。

 

案例4

有些网站在家庭的台式机上无法访问。

解决办法跟案例3非常相似。前提是Mac也处于家庭局域网,并且通过VPN连接到公司内网。网络连通性如下:

台式机 ==> Mac ==> SDS server ==> 网站

首先,在Mac上建立一个到SDS server的动态转发:

ssh -o ExitOnForwardFailure=yes -qTfN -D 8888 kaiding@sdsvm902066.svl.ibm.com

此时,在Mac的浏览器里面设置代理为localhost:8888,就可以在Mac上访问网站了。这其实就是案例2的解决办法。

然后,在台式机上建立一个到Mac的local tunnel:

ssh -o ExitOnForwardFailure=yes -qTfnN -L 8888:localhost:8888 kaiding@192.168.1.8

  • 注:192.168.1.8是Mac在局域网的IP地址。
  • 注:台式机如果是Win10,则需要一个能运行ssh的工具,比如 Git Bash 。

最后,在台式机的浏览器里设置代理为 localhost:8888 即可。

注:如果希望使用代理服务器的DNS,则需勾选“Proxy DNS when using SOCKS v5”选项。

另外,对于Win10里面的的VMware虚拟机(我用的是Ubuntu),也能通过这个方法访问那些网站。我使用的网络是桥接方式,所以相当于VM也是在同一个局域网内的,其IP地址是 192.168.1.56 。(BTW:Win10的IP地址是 192.168.1.9 )

 

参考

  • https://www.ibm.com/developerworks/cn/linux/l-cn-sshforward/
  • https://w3-connections.ibm.com/wikis/home?lang=en-us#!/wiki/Wffbb09234a7a_47cd_bc19_fbbad15fd493/page/Two-layer%20SSH%20reverse%20tunnel

 

蓝黑2020
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于Qt实现的TCP端口转发服务器
04-13
支持同时监听多个端口进行转发; 添加删除转发服务器列表; 是之前发的那个端口转发工具的升级版本
SSH 内网端口转发实战
weixin_34364135的博客
06-12 182
2019独角兽企业重金招聘Python工程师标准>>> ...
SSH端口转发详解及实例
weixin_30399797的博客
11-21 301
正文 一、SSH端口转发简介   SSH会自动加密和解密所有SSH客户端与服务端之间的网络数据。但是,SSH还能够将其他TCP端口的网络数据通SSH链接来转发,并且自动提供了相应的加密及解密服务。这一过程也被叫做"隧道"(tunneling),这是因为SSH为其他TCP链接提供了一个安全的通道来进行传输而得名。例如,Telnet ,SMTP ,LDAP这些TCP应用均能够从中得益,避免了用...
SSH端口转发
weixin_34152820的博客
04-16 200
SSH端口转发 SSH会自动加密和解密所有SSH客户端与服务端之间的网络数据。但是ssh还能够将其他TCP端口的网络数据通过SSH连接来转发,并自动提供了相应的加密及解密服务。这一过程也被叫做隧道,这是应为SSH为其他TCP链接提供了一个安全的通道来进行传输而得名。例如,Telnet,SMTP,LDAP这些TCP应用均能够从中得益,避免了用户名,密码以及隐私信息的明文传输。而于此同时,如果工作环境...
Linux 通过SSH跳板机实现端口转发
weixin_34291004的博客
02-16 1909
2019独角兽企业重金招聘Python工程师标准>>> ...
ssh.zip_SSH实例_ssh
09-20
7. **端口转发**:SSH还支持端口转发,可以将本地端口的流量转发到远程服务器,或者将远程服务器的端口转发回本地,常用于穿透防火墙。 8. **SSH隧道**:基于端口转发,可以创建SSH隧道,实现安全的代理服务,如...
rsync指定ssh端口进行文件同步的方法
01-10
有台服务器因为安全性需要,修改了默认的ssh端口为34778端口。 因此rsync使用ssh同步的时候需要指定ssh的端口 rsync提供了一个-e参数 -e参数的作用是可以使用户自由选择想使用的shell程序来连接远端服务器,因此也...
SSH实例SSH实例
05-04
SSH还支持端口转发,如本地到远程的端口转发: ```bash ssh -L local_port:remote_host:remote_port user@remote_host ``` 这使得你可以通过本地端口访问远程服务器的指定服务。 ### 无密码SSH连接 通过密钥对...
Python 实现 WSL 2 自动 Windows 主机IP和端口转发,可远程 SSH 登录和访问
12-21
为了在Windows主机上转发WSL 2的SSH端口,我们可以使用`netsh`命令行工具。例如,如果你在WSL 2中将SSH服务配置为监听端口2222,可以执行以下命令将Windows的端口转发到WSL: ```bash netsh interface portproxy ...
SSH参考实例
10-17
7. **端口转发**:SSH还提供了端口转发功能,可以将本地端口的数据转发到远程服务器,或者将远程服务器的端口转发到本地。这对于穿透防火墙,访问受限制的服务非常有用。 8. **限制SSH访问**:为了提高安全性,可以...
通过ssh实现端口转发
枪枪枪的博客
11-22 431
使用背景: 内网环境中有电脑若干,其中一台电脑A上的一个网卡(IP:AaA_aAa​)与外网联通,本机在开启VPN后,可以在外网通过SSH远程登录A。A可以通过内网SSH登录集群内任一电脑(B、C、D、…)。 本机通过VPN连接A后被分配了一个新的IP,记为AbA_bAb​,可以在本机上直接通过IP:AbA_bAb​+端口号访问A上开启的服务。 现在想要在本机上访问B上开启的服务 解决方法: 在A上开启一个端口,和B上要访问的服务端口建立映射,达到访问A:端口相当于访问B:端口的效果 命令:HostA$ s
ssh端口转发详解
weixin_30556161的博客
09-08 327
SSH有三种端口转发模式,本地端口转发(Local Port Forwarding),远程端口转发(Remote Port Forwarding)以及动态端口转发(Dynamic Port Forwarding)。对于本地/远程端口转发,两者的方向恰好相反,动态端口转发则可以用于***。 一.ssh端口转发简介 SSH 会自动加密和解密所有 SSH ...
SSH端口转发的理解(精华)
weixin_33915554的博客
03-18 155
之前一直在纠结什么是端口转发,现在写下自己的理解,并试验本地端口,远程端口转发SSH(Secure Shell,安全外壳协议),在SSH的通道上传输数据都是通过加密的,每次连接SSH会执行指纹核对来确认用户连接到正确的远程主机上,如果在其它协议的数据通过SSH端口进行转发,SSH连接作为其它协议传输的通道(隧道),这种方式也叫做SSH端口转发SSH隧道.作用:加密数据传输、...
内网穿透--ssh
这号废了
03-15 3590
条件说明 宽带无公网ip,局域网中的局域网,需要有一台有公网ip的服务器 场景说明 pc net ip lan ip local / 192.168.31.60 server 11.12.13.14 192.168.0.100 local为本地电脑,家庭宽带,无公网ip server为阿里云服务器,有固定公网ip,linux 配置 修改服务器配置 serve...
ssh 学习笔记2
tby314的博客
07-30 2337
名称 ssh_config— OpenSSH 客户端配置文件 描述 ssh(1) 获取配置数据 按以下顺序来自以下来源: 命令行选项 用户的配置文件 ( ~/.ssh/config ) 系统范围的配置文件 ( /etc/ssh/ssh_config ) 对于每个参数,将使用第一个获得的值。 这 配置文件包含由分隔的部分 Host规格,该部分仅 适用于与规范中给出的模式之一匹配的主机。 匹配的主机名通常是命令行上给出的名称(请参阅 CanonicalizeHostname例外选项)。 由
SSH客户端-服务端
IT菜鸟
01-17 1236
一、参考资料 [ SSH简介及两种远程登录的方法_德prince](https://www.iotw3.com/article/ssh .html) 二、相关指令 启动SSH服务 sudo /etc/init.d/ssh start 停止SSH服务 sudo /etc/init.d/ssh stop #server停止ssh服务 重启SSH服务 sudo /etc/init.d/ssh restart #server重启ssh服务 三、关键步骤 1. 查看SSH是否安装 SSH分为客户端 ope
ssh通过代理登录远程主机及穿越跳板机
JineD的博客
05-21 8997
参考:ssh端口转发ssh隧道玩转SSH端口转发PhpStorm sftp deploy with SSH Proxy 通过代理登录远程主机 ssh要使用代理登录远程主机,一般是因为远程主机是买的国外主机,然后ip被和谐了,所以要用通过代理来登录,代理一般都是ss啦。 用法一 ssh -o "ProxyCommand nc -X 5 -x 127.0.0.1:1086 %h %p" root@101.121.218.234 用法二 ssh -o ProxyCommand="nc -X 5
ssh 学习笔记1
tby314的博客
07-30 877
名称 ssh— OpenSSH 远程登录客户端 概要 ssh [ -46AaCfGgKkMNnqsTtVvXxYy] [ -B 绑定接口 ] [ -b 绑定地址 ] [ -c cipher_spec ] [ -D[ 绑定地址 :] 端口 ] [ -E 日志文件 ] [ -e 转义字符 ] [ -F 配置文件 ] [ -I pkcs11 ] [ -i 身份文件 ] [ -J 目的地 ] [ -L 地址 ] [ -l 登录名 ] [ -m mac_spec ] [ -O ctl_cmd ] [
ssh反向代理
houxn22的专栏
12-09 563
客户端执行 ./sshpass -p sshpassword ./dbclient -K 60 -y -N -R *:8389:192.168.0.2:3389 -p sshserverport root@sshserverip
vscode端口转发
最新发布
09-09
通过使用VSCode的远程SSH插件中的端口转发功能,可以方便地进行开发调试工作。这个功能可以帮助我们解决一些服务器端口开放有限的问题。具体步骤如下: 1. 首先,通过VSCode连接到服务器A。 2. 在VSCode的端口窗口中,将服务器A上的某个端口(比如22端口)映射到本地的一个端口(比如5000端口)。 3. 然后,通过Host配置,使用VSCode再次连接到服务器A。 4. 在本地电脑上再次启动一个VSCode,通过远程SSH插件连接到本地的5000端口。 5. 现在,你就可以使用这个新的VSCode实例来访问服务器B进行开发工作了。 需要注意的是,在SSH配置中,可以通过修改Host、HostName、User和Port来适应你的实际情况。比如,将Host设置为serverB,HostName设置为localhost,User设置为服务器B的用户名(比如root),Port设置为映射到本地的端口(比如5000)。 这样,通过VSCode的端口转发功能,你就可以方便地进行服务器B的开发工作了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值