一文彻底搞懂ssh的端口转发

news2024/11/15 17:29:28

文章目录

    • 背景
    • 什么是端口转发?
    • 本地端口转发
      • 本地端口转发的语法
      • 场景1
      • 场景二
      • ssh -L参数解释
      • ssh 远程端口的安全问题
    • 远程端口转发
      • 远程端口转发的语法
      • 场景一
      • 远程端口转发和本地端口转发要在哪台服务器上执行
      • 场景二
      • ssh -R 参数解释
    • 端口转发的选项
    • 端口转发需要修改哪些ssh配置
    • 开机自动建立隧道
    • 参考

背景

端口转发是突破网络域隔离的一个手段。在学习这个知识的时候需要不断自问

  • 为什么需要端口转发?
  • 应用场景是什么呢?

什么是端口转发?

SSH 隧道或 SSH 端口转发可以用来在客户端和服务器之间建立一个加密的 SSH 连接如下图,通过它来把本地流量转发到服务器端,或者把服务器端流量转发到本地。

比如从本地访问服务器上的 MySQL 管理后台,或者把本地的服务暴露在公网上。
比如从公网上访问你家里的的NAS或图书馆.

端口转发分为本地端口转发和远程端口转发.

本地端口转发

本地端口转发的语法

# ssh -L [LOCAL_IP:]LOCAL_PORT:DESTINATION:DESTINATION_PORT [USER@]SSH_SERVER
# 这时 SSH 客户端会监听本地的端口 LOCAL_PORT,把所有发给改端口的 TCP 连接都发给指定的服务器,
#然后再连接到目标机器。这个目标机器通常是服务器自己,也可以是任何其他机器。在目标机器看来,
#这个请求来自 SSH 服务器,相当于连到了服务器的内网。

场景1

例如你被封在家,想连接到公司的数据干活。IT部门只给了你一个跳板机172.16.1.60。 你在家里用笔记本连上wifi就可以连上这个机器。 这个机器是公司外网的出口。这也是做过一次NAT转换的。
现在你可以连接数据库了,可是跳板机上没有你习惯使用的工具,例如navicat. 此时在不麻烦it同时的前提下你可以通过远程端口转发来解决这个问题. (如果公司网路有堡垒机或者其他网络隔离设备可能会禁掉)

大致架构如下
在这里插入图片描述

需要做的就是将远程的数据库3306上的服务通过对外的跳板机映射到本地,你就可以使用navicat连接数据库了。

在你本地的git bash中或者powershell执行以下命令

ssh -N -L -f 3301:192.168.122.76:3306 172.16.1.60

这个ssh命令的意思是所有跟3301端口的TCP数据传输都会直接通过ssh通过在服务器172.16.1.60 上转发给数据库服务器(192.168.122.76:3306)。
也就是说将本地的3301 端口应到了内网的3306端口。
在这里插入图片描述
至此你就可以使用navicat连接本地的3301 端口连接远程数据库服务了.

场景二

在这里插入图片描述

ssh -L参数解释

在这里插入图片描述

ssh 远程端口的安全问题

这里3301 并不是打错了。毕竟3306 是个知名端口。如果有人扫描到你的机器3306是开启的,可能会发起攻击影响内网的数据库服务, 所以一般都会伪装一个端口。例如你去阿里上买一个rds. 数据库连接一般都有不是原生端口?

远程端口转发

“远程端口转发”(remote forwarding)当然是指绑定远程端口的转发
将远程(ssh 服务器)机器上的端口转发到本地(ssh 客户端)机器上的端口,然后再转发到目标机器上的端口。

远程端口转发的语法

#[REMOTE:]REMOTE_PORT- 远程 SSH 服务器上的 IP 和端口号。空的REMOTE意味着远程 SSH 服务器将绑定到所有接口。
#DESTINATION:DESTINATION_PORT- 目标机器的 IP 或主机名和端口。
#[USER@]SERVER_IP- 远程 SSH 用户和服务器 IP 地址。
ssh -R [REMOTE:]REMOTE_PORT:DESTINATION:DESTINATION_PORT [USER@]SSH_SERVER

场景一

场景如下图,外网可以访问内部的一个服务,在任何有网络的地方(而不再限制在某台主机上,应用更广泛)都可以访问你的服务啦。

注意:
在公网上需要放行安全组8888这个端口。
在10.0.0.4上执行远程端口转发命令,该主机和公网22端口可达。(其实只要求公网能ssh到10.0.0.4就可以了,企业里面一般都是出口松进口严)
在这里插入图片描述

ssh -R 8888:10.0.0.3:8080 44.11.22.33

远程端口转发和本地端口转发要在哪台服务器上执行

本地: 就在你本地就可以了
远程: 在中转服务器上执行。

场景二

在这里插入图片描述
在这里插入图片描述

ssh -R 参数解释

在这里插入图片描述

端口转发的选项

-N 代表不开启ssh连接,会启动一个阻塞的进程,直到 Ctrl-C 手动终止掉。
-L 参数来做本地端口转发。
-f 后台启用
-g 实现网关功能(GatewayPorts yes)

端口转发需要修改哪些ssh配置

无论是本地端口转发还是远程端口转发,都需要在服务器上配置 。
这个参数一般好像都关闭的.

/etc/ssh/sshd_config:

GatewayPorts yes

如果长时间保持连接,那么还需要开启:

TCPKeepAlive yes

顾名思义 TCPKeepAlive 运行在 TCP 层,通过发一个空包来保持连接。如果你的服务器有复杂的防火墙,或者本地所在的网络运营商比较奇怪,这个包可能会被丢掉。这时可以用 ServerAliveInterval 60 来在 SSH 协议一层保持连接。方便起见这些参数也可以在建立连接时指定,比如:

ssh -L 8080:localhost:33062 harttle@mysql.example.com -o TCPKeepAlive=true ServerAliveInterval=60

也可以装一个 autossh 包,让它来托管 ssh 服务,这样会更稳定:

autossh -NR 8080:localhost:32400 harttle@example.com

以上 ssh 命令都可以在 Linux 或 MacOS 下工作,如果在 Windows 下也有其他的选择。比如你安装了 WSL,那么可以在 WSL 里执行上述命令。也可以安装一个 SSH 客户端,比如在 PuTTY 下可以在“连接->SSH->隧道”里相应地设置本地和远程端口、IP。

开机自动建立隧道

在 Linux 下可以把上述命令直接写成一个 systemd 脚本,可参考 使用 systemd 管理 Node.js 应用 一文;在 Windows 下可以利用任务计划程序建立一个任务,如果本地安装有 WSL,可以添加一个 Action 设置命令为 wsl 参数为

autossh -NR 8080:$(cat /etc/resolv.conf | grep nameserver | awk '{print $2}'):32400 example.com

注意 WSL2 启用了 HyperV 运行在某个子网下,宿主机器的 IP 是不确定的,需要用 cat /etc/resolv.conf | grep nameserver | awk ‘{print $2}’ 来获得 WSL 宿主机器的 IP。

参考

【1】 ssh配置优化
【2】windows创建隧道

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/78796.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

fastdfs部署详解

fastdfs部署 官方github支持 官方解释:FastDFS 是一个开源的高性能分布式文件系统。它的主要功能包括:文件存储、文件同步和文件访问(文件上传和文件下载),它可以解决高容量和负载均衡问题。FastDFS应该能满足图片分享…

10 款开源工具

1. JIRA 2. Git 3. Jenkins 4. Selenium 5. Groovy 6、Spock 7. Maven 8. Gradle 9. Docker 10. Linux 本文主要介绍Java程序员应该在2019年学习的一些基本和高级工具。如果你是一位经验丰富的Java开发人员,你可能对这些工具很熟悉,但如果不是&…

Java 并发编程<13>-ThreadPoolExecutor的springboot应用

Java 并发编程<13>-ThreadPoolExecutor的springboot应用 Java并发编程<10>安全集合 ...... Java 并发编程<1>-线程实现的方式 线程池简介 a .为什么使用线程池 降低系统资源消耗&#xff0c;通过重用已存在的线程&#xff0c;降低线程创建和销毁造成的消…

基于Surf+GTM的图像配准和拼接算法matlab仿真

目录 1.算法描述 2.仿真效果预览 3.MATLAB核心程序 4.完整MATLAB 1.算法描述 SIFT采用的是DoG图像&#xff0c;而SURF采用的是Hessian矩阵&#xff08;SURF算法核心&#xff09;行列式近似值图像。在数学中&#xff0c;Hessian矩阵是一个自变量为向量的实值函数的二阶偏导数…

计算机网络(自顶向下)学习笔记——传输层

第三章—传输层 传输层位于应用层和网络层之间&#xff0c;是分层的网络体系结构中重要的部分&#xff0c;该层为运行在不同主机上的应用进程提供直接的通信服务起着至关重要的作用。在这里我们将讨论两个大的问题&#xff1a;将网络层在不同端系统之间的通信服务扩充到运行在…

机器学习-PCA主成份分析详细解说及代码实现

本站原创文章&#xff0c;转载请说明来自《老饼讲解-机器学习》ml.bbbdata.com 目录 一. PCA主成分分析思想介绍 1.1 主成份分析思想 1.2 什么是主成份 二. PCA主成分分析的数学描述 2.1 主成份分析的数学表达 2.2 主成份系数矩阵A的约定 2.3 主成份分析需要输出什么 三…

Linux网络编程(一)——基础篇

目录 一、网络结构模式 &#xff08;一&#xff09;C/S结构 &#xff08;二&#xff09;B/S结构 二、MAC地址 三、IP地址 &#xff08;一&#xff09;IP地址编址方式 A类IP地址 B类IP地址 C类IP地址 D、E类IP地址 特殊的网址 IP分类的优缺点 &#xff08;二&#x…

解决org.apache.jasper.JasperException: 无法为JSP编译类

1.问题描述 org.apache.jasper.JasperException: 无法为JSP编译类: 在运行java web项目时&#xff0c;启动tomcat服务器报这样的操作&#xff0c;一般就是tomcat版本跟jdk版本不兼容的问题。我用的是jdk17&#xff0c;经过查阅相关资料得出一般使用jdk8就可以解决此类问题 2.…

微信小程序 | 小程序配置和架构

&#x1f5a5;️ 微信小程序 专栏&#xff1a;小程序配置和架构 &#x1f9d1;‍&#x1f4bc; 个人简介&#xff1a;一个不甘平庸的平凡人&#x1f36c; ✨ 个人主页&#xff1a;CoderHing的个人主页 &#x1f340; 格言: ☀️ 路漫漫其修远兮,吾将上下而求索☀️ &#x1f44…

JavaScript:cookie和storage

cookie 用于客户端存储会话信息。在浏览器中会对cookie做一些限制&#xff1a; ❑ 不超过300个cookie&#xff1b; ❑ 每个cookie不超过4096字节&#xff1b; ❑ 每个域不超过20个cookie&#xff1b; ❑ 每个域不超过81920字节。 每个域能设置的cookie总数也是受限的&#xf…

(5)Pytorch数据处理

Pytorch 数据处理 要点总结 1、功能 Dataset&#xff1a;准备数据集&#xff0c;一般会针对自己的数据集格式重写Dataset&#xff0c;定义数据输入输出格式 Dataloader&#xff1a;用于加载数据&#xff0c;通常不用改这部分内容 2、看代码时请关注 Dataloader中collate_fn 传入…

分布式部署:第一章:zookeeper集群和solrcloud及redisCluster集群搭建

2.1 Zookeeper集群简介 2.1.1为什么搭建Zookeeper集群 大部分分布式应用需要一个主控、协调器或者控制器来管理物理分布的子进程。目前&#xff0c;大多数都要开发私有的协调程序&#xff0c;缺乏一个通用机制&#xff0c;协调程序的反复编写浪费&#xff0c;且难以形成通用、…

17、基于Mybaits、Vue、axios、Element-ui的JavaWeb项目

目录 1、项目功能介绍 ​编辑 2、环境准备 创建项目 准备数据库 准备Mybatis核心配置文件 创建实体类与Mapper映射文件 补全项目结构 1、在pom.xml中导入相关依赖 2、导入axios、vue的js文件 3、导入Element-ui 3、查询所有功能的实现 3.1、后端的实现 3.1.1、d…

【人工智能与机器学习】——朴素贝叶斯与支持向量机(学习笔记)

&#x1f4d6; 前言&#xff1a;朴素贝叶斯&#xff08;Naive Bayes&#xff09;和支持向量机&#xff08;Support Vector Machine&#xff0c;SVM&#xff09;是两种不同的机器学习算法&#xff0c;它们都用于分类。朴素贝叶斯算法基于贝叶斯定理来进行分类&#xff0c;它是一…

内存优化之掌握 APP 运行时的内存模型

在上一章&#xff0c;我们已经从操作系统的维度了解了一个进程的内存模型。这一节&#xff0c;我们将维度继续上升&#xff0c;从应用层出发看看一个 App 运行时的内存模型是怎样的。从 App 运行时的内存模型中我们可以知道导致内存增长的源头&#xff0c;从源头出发&#xff0…

【RCNN系列】Faster RCNN论文总结及源码

目标检测论文总结 【RCNN系列】 RCNN Fast RCNN Faster RCNN 文章目录目标检测论文总结前言一、Pipeline二、模型设计1.RPNHead2.Anchors3.RPN&#xff08;Region Proposal Networks&#xff09;4.RPN正负样本划分阈值5.训练策略三、总结前言 一些经典论文的总结。 一、Pipel…

RK3568平台开发系列讲解(驱动基础篇)Linux内核面向对象思想之继承

🚀返回专栏总目录 文章目录 一、私有指针二、抽象类三、接口沉淀、分享、成长,让自己和他人都能有所收获!😄 📢在面向对象编程中,封装和继承其实是不分开的:封装就是为了更好地继承。我们将几个类共同的一些属性和方法抽取出来,封装成一个类,就是为了通过继承最大化…

【云原生】devops之jenkins中pipeline语法(2)

前言&#xff1a; pipeline语法分类一般来说&#xff0c;有四种。分别是环境配置、阶段步骤、行为动作、逻辑判断。 二、阶段步骤 &#xff08;1&#xff09;post 根据pipeline块或者stage块&#xff08;阶段&#xff09;完成的状态来进行一个或者多个附加步骤&#xff08;取决…

搭建高性能数据库服务⭐《Sharding-JDBC+Canal》⭐

本文主要记录本周的学习内容&#xff0c;搭建mysql的高性能数据库服务 源于 现最多被使用的数据库还是Msql&#xff0c;而MySQL本身不是一种分布式型数据库&#xff0c;在高性能要求下&#xff0c;简单的主从、复制已无法满足高性能要求。 而本文主要在提供读者一种高性能方案…

Java学习之equals方法练习

目录 第一题 题目要求 我的代码 创建Person类 main类 结果 重写equals 重写后的结果 老师代码 思路 结果 总结 Interger类 源代码 String类 源代码 第二题 运行结果 第三题 知识点 运行结果 第一题 题目要求 判断两个 Person 对象的内容是否相等&#xff0c;…