【运维】SSH 的 -L、-R 和 -D 选项

最新推荐文章于 2024-04-18 16:57:05 发布
最新推荐文章于 2024-04-18 16:57:05 发布
阅读量1k 收藏 3
点赞数 1
文章标签: 运维 ssh 网络
原文链接:https://zhuanlan.zhihu.com/p/615584874?utm_id=0
版权

ssh | OpenBSD

-L 选项用于本地(Local)端口转发。

-R 选项用于远程(Remote)端口转发。

-D 选项用于动态(Dynamic)端口转发。

端口转发就是监听某一特定端口,然后将发往该端口的数据转发出去。

-L、-R 仅转发 TCP 报文,-D 支持 SOCKS5 协议,可以同时转发 TCP 和 UDP 报文。

假设有三台主机:

  1. 主机 A:本地主机,即 SSH Client 所在的主机;
  2. 主机 B:远程主机,即 SSH Sever 所在的主机;
  3. 主机 C:想要访问的目的主机。

主机上的端口:

  1. X 是主机 A 的端口,即本地端口;
  2. Y 是主机 B 的端口,即远程端口;
  3. Z 是主机 C 的端口。

-L 选项

-L 选项用法如下:

-L portX:hostC:portZ 或 -L *:portX:hostC:portZ 表示从任意主机发往主机 A 的端口 X 的流量,都通过主机 B,发往主机 C 的端口 Z。

-L localhost:portX:hostC:portZ 表示只有从主机 A 发往主机 A 的端口 X 的流量,才通过主机 B,发往主机 C 的端口 Z。

-L hostD:portX:hostC:portZ 表示只有从主机 D 发往主机 A 的端口 X 的流量,才通过主机 B,发往主机 C 的端口 Z。

上述这些命令执行后,主机 A 上的 SSH Client 就会开始监听本机 X 端口(TCP 协议)。

常见用法一:

ssh -L localhost:10086:hostC:80 root@hostB -NT  # 此处以主机 B 的 root 用户为例

在浏览器中访问 localhost:10086, 就可以实际访问到 hostC:80

常见用法二:

ssh -L localhost:10086:hostC:22  root@hostB -NT

在命令行执行 ssh -p 10086 root@localhost,实际连接上了主机 C 的 SSH Server。

-R 选项

-R 选项用法如下:

-R portY:hostC:portZ 或 -R *:portY:hostC:portZ 表示从任意主机发往主机 B 的端口 Y 的流量,都通过主机 A,发往主机 C 的端口 Z。

-R hostD:portY:hostC:portZ 表示只有从主机 D 发往主机 B 的端口 Y 的流量,才通过主机 A,发往主机 C 的端口 Z。

特别提醒:实际在默认设置下,并不能从任意主机或某一特定主机访问到主机 B 的端口 Y,而是只能在主机 B 上访问端口 Y。想要从任意主机或某一特定主机访问到主机 B 的端口 Y,需要将主机 B 的 /etc/ssh/sshd_config 文件中的 GatewayPorts 选项设为 yes,并重启 sshd。

上述这些命令执行后,主机 B 上的 SSH Server 就会开始监听本机 Y 端口(TCP 协议)。

常见用法:

主机 A 是你的私人电脑,你在主机 A 上搭建了一个本地网站,使用 80 端口;

主机 B 拥有公网 IP,任何人都可以访问。

只需要在主机 A 上执行如下命令:

ssh -R 8080:localhost:80 root@hostB

就可以在任意电脑上通过访问 hostB:8080,来访问主机 A 上的网站。

-D 选项

-D portX 或 -D *:portX 表示从任意主机发往主机 A 的端口 X 的流量,都通过主机 B,发往报文中目标主机的目标端口。

-D localhost:portX 表示只有从主机 A 发往主机 A 的端口 X 的流量,才通过主机 B,发往报文中目标主机的目标端口。

-D hostD:portX 表示只有从主机 D 发往主机 A 的端口 X 的流量,才通过主机 B,发往报文中目标主机的目标端口。

上述这些命令执行后,主机 A 上的 SSH Client 就会开始监听本机 X 端口。

除了 SSH Client 和 SSH Server,一般还需要一个辅助软件,用于截获 TCP 或 UDP 报文,并将它们导向主机 A 的端口 X。

假设有三台主机, IP 分别为:

  1. 192.168.10.1,主机 A
  2. 192.168.10.10,主机 B
  3. 192.168.10.100,主机 C

主机 C 上运行着 HTTP 服务器,网址为 192.168.10.100:80。

先在主机 C 上禁止主机 A 访问,这样主机 A 就不能访问主机 C 提供的网页了。

iptables -I INPUT -s 192.168.10.1 -j DROP
# 删除规则:iptables -D INPUT -s 192.168.10.1 -j DROP

在主机 A 上开启动态端口转发:

 ssh -D 10086 root@192.168.10.10 -NT

在主机 A 上设置 Socks5 代理(以火狐浏览器为例):Settings -- General -- Network Settings -- Settings…

在主机 A 的火狐浏览器上就可以访问到主机 C 提供的网页了。其中,

浏览器发出的 HTTP 请求被截获,发送到 SSH Client,这之间用的是 Socks5 协议;

从 SSH Client 到 SSH Server 这之间用的是 SSH 协议;

从 SSH Server 到主机 C 的 HTTP 服务器这之间用的是 HTTP 协议。

其它

autossh 软件可以监控 ssh 连接状态,并在断线时自动重连。

虹梦未来
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ssh本地端口转发,远程端口转发,隧道(这个解释不饶)
墨痕诉清风的博客
04-20 4844
创建隧道时的常用选项 “-L选项”:表示使用本地端口转发创建ssh隧道 “-R选项”:表示使用远程端口转发创建ssh隧道 “-N选项”: 表示创建隧道以后不连接到sshServer端,通常与”-f”选项连用 “-f选项”:表示在后台运行ssh隧道,通常与”-N”选项连用 “-g选项”:表示ssh隧道对应的转发端口将监听在主机的所有IP中,不使用”-g选项”时,转发端口默认只监听在主机的本地回环地址中,”-g”表示开启网关模式,远程端口转发中,无法开启网关功能。 本地端口转发 命令 # 所有访
IT运维制度-机房管理制度.doc
03-15
IT运维制度-机房管理制度.doc
SSH -R 反向端口转发
Avalon
05-11 2万+
摘自:https://abcdabcd987.com/ssh/ 反向端口转发:例子1 相信很多人都会有这样的需求:我实验室的机器和宿舍的机器都处在局域网中,但我需要在宿舍访问实验室的机器,或者反过来。这个时候,你需要一台处在公网的机器,如果没有的话,可以考虑腾讯云或者阿里云的学生优惠。 假设现在你有一台处在公网的机器 jumpbox,这台机器是在任何地方都能访问到的;你在实验室也有一台机子 ...
sshd服务安装-ssh命令使用方法
最新发布
2401_83641491的博客
04-18 1155
最近我根据上述的技术体系图搜集了几十套腾讯、头条、阿里、美团等公司21年的面试题,把技术点整理成了视频(实际上比预期多花了不少精力),包含知识脉络 + 诸多细节,由于篇幅有限,这里以图片的形式给大家展示一部分。
一文彻底搞懂ssh的端口转发
MyySophia的博客
12-10 1万+
SSH 隧道或 SSH 端口转发可以用来在客户端和服务器之间建立一个加密的 SSH 连接如下图,通过它来把本地流量转发到服务器端,或者把服务器端流量转发到本地。比如从本地访问服务器上的 MySQL 管理后台,或者把本地的服务暴露在公网上。比如从公网上访问你家里的的NAS或图书馆.端口转发分为本地端口转发和远程端口转发.
ssh -D 代理实践
qq_28258903的博客
01-31 7883
背景:疫情在家,实验室台式机win10一台,家里笔记本win10一台,服务器集群ubuntu若干。服务器不能连外网,但可以和实验室的机器通过校园网连接。手头的笔记本可以通过vpn访问校园网。 服务器不能连外网,没有环境,不好配置。需要联网。 解决方法:手头笔记本连校园网vpn后ssh 登录服务器,teamviewer连实验室win10,先进行校园网认证联网(网页认证会跳转到校园统一认证平台,搞不清前端这一套,不然直接在服务器上模拟网页登录了),用ssh -D在服务器和实验室台式机上搭隧道,开放服务器上的某个
端口转发:ssh -L 或 -R
刘元林的博客
05-31 8135
SSH 除了可以访问服务器,还可以创建加密隧道,充当两台服务器之间的通信加密跳板,使得原本不加密的通信变成加密通信。这个功能称为端口转发(port forwarding),又称 SSH 隧道(tunnel)。 这里介绍本地转发和远程转发两种场景。需要注意的是,对于openssh的不同版本实现,默认值略有差异,但命令语法相同。 ...
SSH命令详解
热门推荐
m0_60873746的博客
05-25 4万+
SSH 是一种用于远程管理和操作服务器的协议,可确保数据传输安全和可靠性。本篇博客介绍了 SSH 的基础知识,包括连接远程主机、指定登录用户和端口号、使用身份验证文件、执行远程命令等操作。同时,也介绍了如何使用密钥对登录远程主机,提高了系统的安全性。
运维开发-运维工程师-DevOps工程师-K8S大厂面试题.pdf
10-27
运维开发-运维工程师-Devops工程师大厂面试题,主要包含以下内容: 1.Linux网络、中间件、硬件、数据库、运维等基础考察 2.shell、python、awk、ansible开发语言及工具面试 3.DevOps、k8s、Docker等容器基础面试 4....
winscp64位-运维必备-ssh远程连接工具.rar
04-20
winscp64位-运维必备-ssh远程连接工具.rar
IT项目运维资料-运维变更管理流程v1.3.docx
06-06
IT项目运维资料-运维变更管理流程v1.3.docx
HBase运维实践-聊聊RIT的那点事
01-27
相信长时间运维HBase集群的童鞋肯定都会对RIT(Region-In-Transition,很多参考资料误解为Region-In-Transaction,需要注意)有一种咬牙切齿的痛恨感,一旦Region处于长时间的RIT就会有些不知所措,至少以前的我就是...
[笔记]SSH 端口转发
永远相信美好的事情即将发生
09-09 4280
ssh 拥有很强大的能力,因为在服务器运维中一直在使用 ssh ,因此探讨 ssh 的功能能够在日常开发过程中受益颇多,这里描述下 ssh 的三种端口转发功能。灵活使用可以大大简化我们的开发过程。
linux下的ssh端口转发
yanggd1987的专栏
10-29 869
简介  上一篇博客我们讲过linux的端口转发,主要是通过iptables和Rinetd,其实还有一种转发方式,就是ssh。我们大家都知道ssh是一种安全传输协议,大多数情况下用在连接服务器上;但是它还有一种功能就是端口转发。它能够将其他 TCP 端口的网络数据通过 SSH 链接来转发,并且自动提供了相应的加密及解密服务。这一过程有时也被叫做“隧道”(tunneling),这是因为 SSH 为其他
SSH 命令的三种代理功能(-L/-R/-D)
来啊 快活啊
11-12 3635
SSH 命令的三种代理功能(-L/-R/-D)
ssh -R 建立正向,反正端口转发
weixin_34109408的博客
09-09 932
A .正向的TCP端口转发代理ssh -L 2000:121.43.198.241:80 121.43.198.241 #将自己的2000端口映射到远程的80端口。访问自己的 curl http://127.0.0.1:2000 就相当于访问121.43.198.241的80端口ssh -L 10.10.10.10:2000:121.43.198.2...
linux ssh注册码,linux ssh -l 命令运用
weixin_33349121的博客
05-12 5205
ssh是远程登录命令,-l选项是最常用的选项,下面是我的一些总结远程登录:ssh -l userName ip# 远程登录到 10.175.23.9ssh -l root2 10.175.23.9执行远程命令(不登录):ssh -l userName ip command# 不远程登录到 10.175.23.9,但通过命令查看10.175.23.9上面的nginx的进程情况ssh -...
SSH -L:安全、便捷、无边界的网络通行证
todoitbo的博客
12-30 2136
这篇博客将引导你深入SSH -L端口转发的世界。从基础概念到高级应用,我们将解释SSH -L如何成为网络安全与便捷的佼佼者。通过实例和易懂的解释,你将迅速掌握SSH -L的精髓,为你的网络体验开启一扇新的大门。
linux 断开连接 脚本,linux下ssh -D 转发脚本/ssh断线后自动重连
weixin_42420393的博客
05-09 642
ssh转发ssh -D的作用就不说了,相信看到这篇文章的童鞋们应该都……[此处略去N个字]。有不少ssh服务器会定期踢除不活动的连接,尤其像我这样使用 “ssh -D ” + autoproxy,通常访问的网站都是没有被有被墙的,于是ssh长时间不活动,于是被服务器踢了。写一个简单脚本,解决这一问题。前提:有ssh服务器账号密码,并设置好免密码登录ssh.思路:写脚定期查看ssh进程是否已经退出,...
it项目运维资料-运维变更管理流程v1.3
08-29
运维变更管理流程是IT项目运维资料中的一个重要组成部分。它是指在IT项目运维过程中,对于运维变更的管理步骤和方法。在v1.3版本中,运维变更管理流程有以下几个关键步骤。 首先,运维变更管理流程的第一步是需求识别和评估。在这一步骤中,运维团队会与项目业务负责人沟通,了解需求变更的原因和影响范围,并进行评估,以确定变更是否合理和可行。 第二步是变更规划和设计。在这一步骤中,运维团队会制定变更计划,确定执行过程中所需的资源和时间,并制定详细的变更方案和测试策略。这一步骤的目的是为了确保变更顺利进行,能够满足业务需求。 第三步是变更实施和测试。在这一步骤中,运维团队会按照变更计划进行系统的更新、配置、安装或其他处理,并进行相应的测试,以确保变更不会对系统的稳定性和安全性产生负面影响。这一步骤的重点是确保变更的准确性和可靠性。 第四步是变更评估和审批。在这一步骤中,运维团队会对变更的实施结果进行评估,并进行相应的审批。评估的目的是检查变更是否达到了预期的效果,并在确保变更安全可靠的基础上进行批准。 最后一步是变更记录和文档管理。在这一步骤中,运维团队会将变更的详细记录和文档进行整理和存档,以备将来的参考和回溯。这样可以确保变更过程的可追溯性和可复现性。 通过以上的运维变更管理流程,IT项目运维团队能够有效地管理和控制运维变更的过程,确保变更的安全性、稳定性和可靠性,并提供变更过程的可追溯性和文档管理。这样可以最大程度地降低变更引起的风险和不确定性,确保系统的稳定运行。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值