ssh设置转发

最新推荐文章于 2024-05-03 16:46:17 发布
最新推荐文章于 2024-05-03 16:46:17 发布
阅读量1k 收藏
点赞数 1
分类专栏: ……【shell】

ssh命令实现端口转发

概念

SSH 会自动加密和解密所有 SSH 客户端与服务端之间的网络数据。但是,SSH 还同时提供了一个非常有用的功能,这就是端口转发。它能够将其他 TCP 端口的网络数据通过 SSH 链接来转发,并且自动提供了相应的加密及解密服务。这一过程有时也被叫做“隧道”(tunneling),这是因为 SSH 为其他 TCP 链接提供了一个安全的通道来进行传输而得名.

总的来说 SSH 端口转发能够提供两大功能:

  1. 加密 SSH Client 端至 SSH Server 端之间的通讯数据。

  2. 突破防火墙的限制完成一些之前无法建立的 TCP 连接

5c6a9d3c7d4f25c6a9d3c7d4f2

如上图所示,使用了端口转发之后,TCP 端口 A 与 B 之间现在并不直接通讯,而是转发到了 SSH 客户端及服务端来通讯,从而自动实现了数据加密并同时绕过了防火墙的限制

两台服务器的端口转发

本地转发

格式:ssh -L <``local port>:<``remote host>:<``remote port> <``SSH hostname>

环境简介

serverA:

serverA:
[root@serverA ~]# curl -I 192.168.47.131
curl: (7) Failed connect to 192.168.47.131:80; Connection refused

serverB:

[root@serverB ~]# netstat -anlp | grep 80
 tcp 0 0 127.0.0.1:80 0.0.0.0:* LISTEN 2180/httpd
[root@serverB ~]# curl -I localhost
 HTTP/1.1 200 OK
 Date: Mon, 18 Feb 2019 21:12:04 GMT

要求 :serverA无法直接访问serverB的80端口,serverA可以ssh到serverB。

设置转发
[root@serverA ~]# ssh -L 1212:localhost:80 root@192.168.47.131

输入登录serverB的登录密码

测试

[root@serverA ~]# curl -I localhost:1212
HTTP/1.1 200 OK
Date: Mon, 18 Feb 2019 21:19:09 GMT
Server: Apache/2.4.6 (CentOS)
Last-Modified: Mon, 18 Feb 2019 21:09:20 GMT
ETag: "5-5823189d02b90"
Accept-Ranges: bytes
Content-Length: 5
Content-Type: text/html; charset=UTF-8
原理介绍

这里需要注意的是本例中我们选择了 1212 端口作为本地的监听端口,在选择端口号时要注意非管理员帐号是无权绑定 1-1023 端口的,所以一般是选用一个 1024-65535 之间的并且尚未使用的端口号即可

然后我们可以将远程机器(serverB)上的应用直接配置到本机的 1212 端口上(而不是 HTTP服务器的 80 端口上)。之后的数据流将会是下面这个样子:

  • 我们在 serverA 上的应用将数据发送到本机的 7001 端口上,
  • 而本机的 SSH Client 会将 1212 端口收到的数据加密并转发到 serverB 的 SSH Server 上。
  • SSH Server 会解密收到的数据并将之转发到监听的 HTTP 80 端口上,
  • 最后再将从 80 返回的数据原路返回以完成整个流程。

注意:

  1. SSH 端口转发是通过 SSH 连接建立起来的,我们必须保持这个 SSH 连接以使端口转发保持生效。一旦关闭了此连接,相应的端口转发也会随之关闭。

  2. 我们只能在建立 SSH 连接的同时创建端口转发,而不能给一个已经存在的 SSH 连接增加端口转发。

  3. 你可能会疑惑上面命令中的 为什么用 localhost,它指向的是哪台机器呢?在本例中,它指向 serverB。我们为什么用 localhost 而不是 IP 地址或者主机名呢?其实这个取决于我们之前是如何限制HTTP 只有本机才能访问。如果只允许 lookback 接口访问的话,那么自然就只有 localhost 或者 IP 为 127.0.0.1 才能访问了,而不能用真实 IP 或者主机名。

  4. 命令中的 和 必须是同一台机器么?其实是不一定的,它们可以是两台不同的机器。我们在后面的例子里会详细阐述这点。

  5. 好了,我们已经在 serverA 建立了端口转发,那么这个端口转发可以被其他机器使用么?比如能否新增加一台 serverc 来直接连接 serverA 的 1212 端口?答案是不行的,在主流 SSH 实现中,本地端口转发绑定的是 lookback 接口,这意味着只有 localhost 或者 127.0.0.1 才能使用本机的端口转发 , 其他机器发起的连接只会得到“ connection refused. ”。好在 SSH 同时提供了 GatewayPorts 关键字,我们可以通过指定它与其他机器共享这个本地端口转发。

    ssh -g -L <local port>:<remote host>:<remote port> <SSH hostname>

远程转发

要求 :serverA无法直接访问serverB的80端口,serverB可以ssh到serverA。

设置转发:

[root@serverB ~]# ssh -R 1212:localhost:80 root@192.168.47.128

本地转发和远程转发的对比分析

不错,SSH Server,SSH Client,LdapServertHost,LdapClientHost,本地转发,远程转发,这么多的名词的确容易让人糊涂。让我们来分析一下其中的结构吧。首先,SSH 端口转发自然需要 SSH 连接,而 SSH 连接是有方向的,从 SSH Client 到 SSH Server 。而我们的应用也是有方向的,比如需要连接 LDAP Server 时,LDAP Server 自然就是 Server 端,我们应用连接的方向也是从应用的 Client 端连接到应用的 Server 端。如果这两个连接的方向一致,那我们就说它是本地转发。而如果两个方向不一致,我们就说它是远程转发。

我们可以回忆上面的两个例子来做个对照。

本地转发时:

LdapClientHost 同时是应用的客户端,也是 SSH Client,这两个连接都从它指向 LdapServertHost(既是 LDAP 服务端,也是 SSH Server)。

远程转发时:

LdapClientHost 是应用的客户端,但却是 SSH Server ;而 LdapServertHost 是 LDAP 的服务端,但却是 SSH Client 。这样两个连接的方向刚好相反。

多台服务器转发

让我们来看一个涉及到四台机器 (A,B,C,D) 的例子。

多主机转发应用

在 SSH Client© 执行下列命令来建立 SSH 连接以及端口转发:

$ ssh -g -L 7001:<``B``>:389 <``D``>

然后在我们的应用客户端(A)上配置连接机器(C )的 7001 端口即可。注意我们在命令中指定了“ -g ”参数以保证机器(A)能够使用机器(C)建立的本地端口转发。而另一个值得注意的地方是,在上述连接中,(A)<-> © 以及 (B)<->(D) 之间的连接并不是安全连接,它们之间没有经过 SSH 的加密及解密。如果他们之间的网络并不是值得信赖的网络连接,我们就需要谨慎使用这种连接方式了。

动态转发

恩,动态转发,听上去很酷。当你看到这里时,有没有想过我们已经讨论过了本地转发,远程转发,但是前提都是要求有一个固定的应用服务端的端口号,例如前面例子中的 LDAP 服务端的 389 端口。那如果没有这个端口号怎么办?等等,什么样的应用会没有这个端口号呢?嗯,比如说用浏览器进行 Web 浏览,比如说 MSN 等等。

当我们在一个不安全的 WiFi 环境下上网,用 SSH 动态转发来保护我们的网页浏览及 MSN 信息无疑是十分必要的。让我们先来看一下动态转发的命令格式:

$ ssh -D <``local port> <``SSH Server>

例如:

$ ssh -D 7001 <``SSH Server>

动态端口转发

似乎很简单,我们依然选择了 7001 作为本地的端口号,其实在这里 SSH 是创建了一个 SOCKS 代理服务。来看看帮助文档中对 -D 参数的描述:

This works by allocating a socket to listen to port on the local

side, and whenever a connection is made to this port, the con-

nection is forwarded over the secure channel, and the applica-

tion protocol is then used to determine where to connect to from

the remote machine. Currently the SOCKS4 and SOCKS5 protocols

are supported, and ssh will act as a SOCKS server. Only root

can forward privileged ports. Dynamic port forwardings can also

be specified in the configuration file.

之后的使用就简单了,我们可以直接使用 localhost:7001 来作为正常的 SOCKS 代理来使用,直接在浏览器或 MSN 上设置即可。在 SSH Client 端无法访问的网站现在也都可以正常浏览。而这里需要值得注意的是,此时 SSH 所包护的范围只包括从浏览器端(SSH Client 端)到 SSH Server 端的连接,并不包含从 SSH Server 端 到目标网站的连接。如果后半截连接的安全不能得到充分的保证的话,这种方式仍不是合适的解决方案。

总结

参数含义
-L监听127.0.0.1:local_port
-g监听0.0.0.0:locall_port
-R远程转发
-D动态转发

参考链接

IBM 实战 SSH 端口转发

miner_k
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于SSH端口转发
03-04
介绍了基于SSH的端口转发应用场景以及配置
ssh隧道
wuxingge的博客
02-24 1712
参考: https://www.zsythink.net/archives/2450 https://www.cnblogs.com/f-ck-need-u/p/10482832.html ssh相关选项 “-L选项”:表示使用本地端口转发创建ssh隧道 “-R选项”:表示使用远程端口转发创建ssh隧道 “-N选项”: 表示创建隧道以后不连接到sshServer端,通常与”-f”选项连用 “-f选项”:表示在后台运行ssh隧道,通常与”-N”选项连用 “-g选项”:表示ssh隧道对应的转
SSH 端口转发
邵群超的博客
10-10 193
SSH 端口转发功能能够将其他 TCP 端口的网络数据通过 SSH 链接来转发,并且自动提供了相应的加密及解密服务。其实这一技术就是我们常常听说的隧道(tunnel)技术,原因是 SSH 为其他 TCP 链接提供了一个安全的通道来进行传输。我们知道,FTP 协议是以明文来传递数据的。但是我们可以让 FTP 客户端和服务器通过 SSH 隧道传输数据,从而实现安全的 FTP 数据传输。更常见...
2024年Linux最全linux 配置sshd服务器允许端口转发_ssh 设置允许端口转发(1),Linux运维内存优化面试题
2401_83973943的博客
05-03 496
为了做好运维面试路上的助攻手,特整理了上百道,让你面试不慌心不跳,高薪offer怀里抱!这次整理的面试题,本份面试集锦涵盖了1、什么是运维?2、在工作中,运维人员经常需要跟运营人员打交道,请问运营人员是做什么工作的?3、现在给你三百台服务器,你怎么对他们进行管理?4、简述raid0 raid1raid5二种工作模式的工作原理及特点5、LVS、Nginx、HAproxy有什么区别?工作中你怎么选择?6、Squid、Varinsh和Nginx有什么区别,工作中你怎么选择?
linux--ssh隧道
zjjkl的专栏
03-29 721
SSH隧道: ssh -g -f -NL 192.168.7.7:44010:10.66.115.185:3306 -i /home/ilanni/id_dsa_1024_0601 ilanni@115.159.39.187 上述命令的意思是在192.168.7.7这台机器通过ssh方式连接115.159.39.187这台服务器,然后把10.66.115.185这台服务器的3306端口也即是
ssh通道
weixin_30338481的博客
05-07 629
1.因公司情况。开发需要服务器测试。 2.线下测试的服务器是客户方的。 3.需要在客户方借用一台测试服务器。 4.调用的这台测试服务器在内网环境。只允许跳板机的ip登陆或者访问。 5.客户方拒绝设置nat规则去访问这台测试机。 6.公司领导决定开条ssh隧道来转发请求。做服务的映射。 这个任务公司领导交给我了,由于没接触过ssh隧道。在网上找了2天。终于解决这个问题。 ...
ssh三种端口转发
hfihfhuf的博客
02-25 602
(关于端口转发这里只选取了较常用的使用场景) 目录本地端口转发远程端口转发动态端口转发 本地端口转发 (将本地的一个端口收到的数据传送到远程服务器) 用法: ssh -L (本地端口号):localhost:(远程端口号) username@hostname 例如: ssh -g -L 5000:localhost:22 username@hostname 这条命令可以通过连接本地5000端口的方式连接到远程服务器(这里加-g可以使转发端口5000对所有人开放,否则只有本机可以转发): ssh -
SSH端口转发原理PPT课件
01-31
详细介绍SSH端口转发的概念和原理,具体阐释其过程,举例说明如何通过SSH端口转发实现外网远程控制内网PC
SSH端口转发实现内网穿透的实现
01-10
(ip地址有限)如果 我们在访问外网的时候,这个链接让他保持、不断,那么这个链接就相当于我们建了一条路,内网数据能出去,外网数据能进来,ssh也是这个方法。 使用ssh命令链接公网服务器 1、首先在外网服务器上...
mogura:ssh端口转发工具
03-25
Mogura是通过SSH端口转发通过网络连接到微服务的代理。 当前,仅支持MacOS并具有alpha开发状态。 用例 您正在开发需要连接到其他一些微服务的微服务。 但是,所有其他微服务都无法在本地现实中使用。 然后通过VPN或...
SSH X11转发:远程图形界面的桥梁
最新发布
06-28
4. **隧道功能**:SSH 可以创建安全的隧道(也称为端口转发),允许用户通过不安全的网络安全地访问远程服务。 5. **远程命令执行**:SSH 允许用户在远程计算机上执行命令并接收输出。 6. **文件传输**:SSH 是 SCP...
SSH的端口转发:本地转发Local Forward和远程转发Remote Forward
热门推荐
xyyangkun的专栏
11-30 4万+
http://zhumeng8337797.blog.163.com/blog/static/100768914201172125444948/ 实战 SSH 端口转发 https://www.ibm.com/developerworks/cn/linux/l-cn-sshforward/ SSH的端口转发:本地转发Local Forward和远程转发Remote For
互联网基础服务之SSH——client远程连接server时,如何确保server目标正确
weixin_43991978的博客
03-12 256
ssh与服务器安全实战 1.修改/etc/ssh/sshd_config文件 修改/etc/ssh/sshd_config 文件的如下参数,此时一个安全的ssh服务器以及配置完毕,参数如下 [root@web02 .ssh]# vim /etc/ssh/sshd_config Port 23354 AddressFamily any ListenAddress 0.0.0.0 HostKey /etc/ssh/ssh_host_rsa_key HostKey /etc/ssh/ssh_host_ecdsa_
SSH协议交互过程
kluleia的专栏
11-13 1万+
一、什么是SSH   SSH是英文Secure Shell的简写形式。通过使用SSH,你可以把所有传输的数据进行加密,这样"中间人"这种攻击方式就不可能实现了,而且也能够防止DNS欺骗和IP欺骗。使用SSH,还有一个额外的好处就是传输的数据是经过压缩的,所以可以加快传输的速度。SSH有很多功能,它既可以代替Telnet,又可以为FTP、Pop、甚至为PPP提供一个安全的"通道"。
思科设备SSH登录配置
weixin_45817476的博客
08-11 1万+
思科设备SSH登录配置 SSH是一种网络协议,用于计算机之间的加密登录。如果一个用户从本地机算计,使用SSH协议登录另外一远程计算机,可认为,这种登录是安全的。早时互联网通信都是明文通信,一旦被截获,内容就暴露无疑。1995年芬兰学着设计了SSH协议,将登录信息全部加密,成为互联网安全的一个基本解决方案。 首先搭建实验环境,网络拓扑图如下: 配置ssh远程登录管理方式,创建用户名mtlk1和口令,密码加密存储。要想远程访问设备,需要配置一个接口IP用于转发三层数据包,对于一般的二层交换机,不能像路由器一样
学习资料|SSH隧道端口转发功能详解
Jum的博客
02-23 2393
创建隧道时的常用参数及含义如下:“-L选项”:表示使用本地端口转发创建ssh隧道“-R选项”:表示使用远程端口转发创建ssh隧道“-D选项”:表示使用动态端口转发创建ssh隧道“-N选项”:表示创建隧道以后不连接到 sshServer 端,通常与”-f”选项连用“-f选项”: 表示在后台运行ssh隧道,通常与”-N”选项连用。
ssh端口转发
识途老码
12-21 2617
ssh端口转发 Autossh建立稳定隧道
通过 SSH 端口转发配置实现跳板机代理
某呆
02-14 3155
SSH开启端口转发需要修改 /etc/ssh/sshd_config配置文件,将 GatewayPorts修改为yes 参数解释: -f 后台执行ssh指令 -C 允许压缩数据 -N 不执行远程指令 -R 将远程主机(服务器)的某个端口转发到本地端指定机器的指定端口 -L 本地端口转发 -D 动态端口转发 简版:本地端口转发(相当于正向代理),本地监听16379端口,将16379端口的流量都转发给6379端口 ssh -fCNL *:16379:localhost:6379 localhost SSH
堡垒机/跳板机JumpServer3.4的搭建
ivesgg的博客
06-24 3336
为了保证服务器安全,加个堡垒机,所有ssh连接都通过堡垒机来完成,堡垒机也需要有身份认证,授权,访问控制,审计等功能。Jumpserver 是一款由python编写开源的跳板机(堡垒机)系统,实现了跳板机应有的功能。基于ssh协议来管理,客户端无需安装agent。在公司中,分配人员服务器权限也是相当方便,如:来一个新人,在Jumpserver分配Jumpserver账号即可,人员离职,在Jumpserver删掉人员账号即可。
windows11 ssh端口转发
08-22
在Windows 11上进行SSH端口转发,可以使用ZOC软件来实现。ZOC支持SSH代理转发技术,可以在辅助SSH会话中提供身份验证的密钥。这意味着您可以通过在远程shell中键入ssh命令来实现与第三个服务器的SSH连接,并无需再次输入密码,只需使用之前的SSH密钥对进行验证。 此外,如果您需要在Windows 11上运行带有图形用户界面的程序,比如X11应用程序,您也可以使用SSH来实现。X11是一种通信协议,允许在远程计算机上运行带有图形用户界面的程序。通过SSH,在SSH客户端和服务器之间传递X11通信,您可以在远程shell上运行X11命令,并在本地计算机上显示窗口。 需要注意的是,如果您想要实现外网能够访问内网的主机,并进行SSH端口转发,您需要确保防火墙放行了SSH的22端口。此外,通过SSH协议传输的数据是被加密的,确保了数据的安全性。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [mac删除ssh key_好用的mac终端命令仿真工具](https://blog.csdn.net/weixin_39985820/article/details/109956729)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [ssh端口转发](https://blog.csdn.net/studywinwin/article/details/104367123)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值