端口转发的概念和应用
什么是端口转发呢,我们知道,SSH 会自动加密和解密所有 SSH 客户端与服务端之间的网络数据。但是,SSH 还同时提供了一个非常有用的功能,这就是端口转发。它能够将其他 TCP 端口的网络数据通过 SSH 链接来转发,并且自动提供了相应的加密及解密服务。这一过程有时也被叫做“隧道”,这是因为 SSH 为其他 TCP 链接提供了一个安全的通道来进行传输而得名。例如,Telnet,SMTP,LDAP 这些 TCP 应用均能够从中得益,避免了用户名,密码以及隐私信息的明文传输。而与此同时,如果在平时的工作环境中有防火墙限制了一些网络端口的使用,但是允许 SSH 的连接,那么也是能够通过将 TCP 端口转发来使用 SSH 进行通讯。所以总的来说 SSH 端口转发能够提供两大功能:
加密 SSH Client 端至 SSH Server 端之间的通讯数据。
突破防火墙的限制完成一些之前无法建立的 TCP 连接。
本地端口转发
a要访问c先将telnet用ssh封装,传到b后,解封后,再以telnet方式访问c,此时的c认为是b通过telnet再链接自己,而其实是a在链接(要保证防火墙上的端口是打开着的,如果没打开,就进不来了,需要进行远程端口转发,后面解释)
实例:
a是centos5,b是centos6,c是centsos7,首先在a上制定防火墙策略,即禁止a访问,如下指令
iptables -A INPUT -s 192.168.37.105 -j REJECT
然后启动a的telnet服务
systemctl start telnet.socket
接下来在a上执行如下命令
ssh -L 9527.192.168.37.107:23 -fN 192.168.37.106
9527是a的发出端口,在执行前,最好检查下(ss -nutl)有么有程序占用着这个端口,后面的ip地址是目标也就是c的ip地址,23是c的接收端口,在后面的地址是b的地址,也就是接收ssh链接的b,fn是后台启用且不打开7的shell,而是处于等待状态,执行完后,隧道已经就建立了,可使用ss -nt查看
此时,用a链接c,就执行如下命令
telnet 127.0.0.01 9527
这时,可以在c上执行,下面的命令
ss -ntl
能够查看到6正在链接,在b上使用同样的命令,看到a在链接,也就是说测试此时隧道已经建立起来。
远程端口转发
与本地端口转发类似,但是此时防火墙上的端口是关闭的,所以此时用远程端口转发即可解决问题。此时,防火墙已经打开,端口不可访问,只准往外链接不能外,部往内部链接,因此要想建立链接需要从内部链接外部,也就是此时命令是在b中打的,执行如下命令
ssh -R 9527.192.168.37.107:25 -fN 192.168.37.105
也就是l换成R,第一个ip是最终要访问的7第二个ip是此时充当服务器的a,b此时扮演的是客户端,执行完成后,输入指令
telnet 127.0.0.1 9527
这里的地址和端口号是a自己的地址和端口号,这样一个远程端口转发就完成了
动态端口转发
当用firefox访问internet时,本机的1080端口做为代理服务器, firefox的访问请求被转发到sshserver上,由sshserver替之访问internet在本机firefox设置代理socket proxy:127.0.0.1:1080,它的命令格式如下,
ssh -D 1080 root@sshserver
动态端口转发,和本地和远程端口转发不一样,在动态端口转发中,目标主机地址和端口都不固定,具体转发到哪里,可以通过代理服务器由自己来指定。
转载于:https://blog.51cto.com/11093860/1970803
986
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
