ssh | OpenBSD

-L 选项用于本地(Local)端口转发。

-R 选项用于远程(Remote)端口转发。

-D 选项用于动态(Dynamic)端口转发。

端口转发就是监听某一特定端口,然后将发往该端口的数据转发出去。

-L、-R 仅转发 TCP 报文,-D 支持 SOCKS5 协议,可以同时转发 TCP 和 UDP 报文。

假设有三台主机:

  1. 主机 A:本地主机,即 SSH Client 所在的主机;
  2. 主机 B:远程主机,即 SSH Sever 所在的主机;
  3. 主机 C:想要访问的目的主机。

主机上的端口:

  1. X 是主机 A 的端口,即本地端口;
  2. Y 是主机 B 的端口,即远程端口;
  3. Z 是主机 C 的端口。

-L 选项

-L 选项用法如下:

-L portX:hostC:portZ 或 -L *:portX:hostC:portZ 表示从任意主机发往主机 A 的端口 X 的流量,都通过主机 B,发往主机 C 的端口 Z。

-L localhost:portX:hostC:portZ 表示只有从主机 A 发往主机 A 的端口 X 的流量,才通过主机 B,发往主机 C 的端口 Z。

-L hostD:portX:hostC:portZ 表示只有从主机 D 发往主机 A 的端口 X 的流量,才通过主机 B,发往主机 C 的端口 Z。

上述这些命令执行后,主机 A 上的 SSH Client 就会开始监听本机 X 端口(TCP 协议)。

常见用法一:

ssh -L localhost:10086:hostC:80 root@hostB -NT  # 此处以主机 B 的 root 用户为例

在浏览器中访问 localhost:10086, 就可以实际访问到 hostC:80

常见用法二:

ssh -L localhost:10086:hostC:22  root@hostB -NT

在命令行执行 ssh -p 10086 root@localhost,实际连接上了主机 C 的 SSH Server。

-R 选项

-R 选项用法如下:

-R portY:hostC:portZ 或 -R *:portY:hostC:portZ 表示从任意主机发往主机 B 的端口 Y 的流量,都通过主机 A,发往主机 C 的端口 Z。

-R hostD:portY:hostC:portZ 表示只有从主机 D 发往主机 B 的端口 Y 的流量,才通过主机 A,发往主机 C 的端口 Z。

特别提醒:实际在默认设置下,并不能从任意主机或某一特定主机访问到主机 B 的端口 Y,而是只能在主机 B 上访问端口 Y。想要从任意主机或某一特定主机访问到主机 B 的端口 Y,需要将主机 B 的 /etc/ssh/sshd_config 文件中的 GatewayPorts 选项设为 yes,并重启 sshd。

上述这些命令执行后,主机 B 上的 SSH Server 就会开始监听本机 Y 端口(TCP 协议)。

常见用法:

主机 A 是你的私人电脑,你在主机 A 上搭建了一个本地网站,使用 80 端口;

主机 B 拥有公网 IP,任何人都可以访问。

只需要在主机 A 上执行如下命令:

ssh -R 8080:localhost:80 root@hostB

就可以在任意电脑上通过访问 hostB:8080,来访问主机 A 上的网站。

-D 选项

-D portX 或 -D *:portX 表示从任意主机发往主机 A 的端口 X 的流量,都通过主机 B,发往报文中目标主机的目标端口。

-D localhost:portX 表示只有从主机 A 发往主机 A 的端口 X 的流量,才通过主机 B,发往报文中目标主机的目标端口。

-D hostD:portX 表示只有从主机 D 发往主机 A 的端口 X 的流量,才通过主机 B,发往报文中目标主机的目标端口。

上述这些命令执行后,主机 A 上的 SSH Client 就会开始监听本机 X 端口。

除了 SSH Client 和 SSH Server,一般还需要一个辅助软件,用于截获 TCP 或 UDP 报文,并将它们导向主机 A 的端口 X。

假设有三台主机, IP 分别为:

  1. 192.168.10.1,主机 A
  2. 192.168.10.10,主机 B
  3. 192.168.10.100,主机 C

主机 C 上运行着 HTTP 服务器,网址为 192.168.10.100:80。

先在主机 C 上禁止主机 A 访问,这样主机 A 就不能访问主机 C 提供的网页了。

iptables -I INPUT -s 192.168.10.1 -j DROP
# 删除规则:iptables -D INPUT -s 192.168.10.1 -j DROP

在主机 A 上开启动态端口转发:

 ssh -D 10086 root@192.168.10.10 -NT

在主机 A 上设置 Socks5 代理(以火狐浏览器为例):Settings -- General -- Network Settings -- Settings…

在主机 A 的火狐浏览器上就可以访问到主机 C 提供的网页了。其中,

浏览器发出的 HTTP 请求被截获,发送到 SSH Client,这之间用的是 Socks5 协议;

从 SSH Client 到 SSH Server 这之间用的是 SSH 协议;

从 SSH Server 到主机 C 的 HTTP 服务器这之间用的是 HTTP 协议。

其它

autossh 软件可以监控 ssh 连接状态,并在断线时自动重连。

# 运维 # ssh # 网络
Logo
开放原子开发者工作坊

开放原子开发者工作坊旨在鼓励更多人参与开源活动,与志同道合的开发者们相互交流开发经验、分享开发心得、获取前沿技术趋势。工作坊有多种形式的开发者活动,如meetup、训练营等,主打技术交流,干货满满,真诚地邀请各位开发者共同参与!

更多推荐

新华网:开源盛会在江城——2024开放原子开发者大会侧记

开源盛会在江城——2024开放原子开发者大会侧记

avatar 开放原子开发者工作坊

新华社:释放开源潜能,加快构筑软件创新“朋友圈”

释放开源潜能,加快构筑软件创新“朋友圈”

avatar 开放原子开发者工作坊

开源鸿蒙:引领万物智联,加速生态崛起

开源鸿蒙:引领万物智联,加速生态崛起

avatar 开放原子开发者工作坊