文章目录
- 背景
- 什么是端口转发?
- 本地端口转发
- 本地端口转发的语法
- 场景1
- 场景二
- ssh -L参数解释
- ssh 远程端口的安全问题
- 远程端口转发
- 远程端口转发的语法
- 场景一
- 远程端口转发和本地端口转发要在哪台服务器上执行
- 场景二
- ssh -R 参数解释
- 端口转发的选项
- 端口转发需要修改哪些ssh配置
- 开机自动建立隧道
- 参考
背景
端口转发是突破网络域隔离的一个手段。在学习这个知识的时候需要不断自问
- 为什么需要端口转发?
- 应用场景是什么呢?
什么是端口转发?
SSH 隧道或 SSH 端口转发可以用来在客户端和服务器之间建立一个加密的 SSH 连接如下图,通过它来把本地流量转发到服务器端,或者把服务器端流量转发到本地。
比如从本地访问服务器上的 MySQL 管理后台,或者把本地的服务暴露在公网上。
比如从公网上访问你家里的的NAS或图书馆.
端口转发分为本地端口转发和远程端口转发.
本地端口转发
本地端口转发的语法
# ssh -L [LOCAL_IP:]LOCAL_PORT:DESTINATION:DESTINATION_PORT [USER@]SSH_SERVER
# 这时 SSH 客户端会监听本地的端口 LOCAL_PORT,把所有发给改端口的 TCP 连接都发给指定的服务器,
#然后再连接到目标机器。这个目标机器通常是服务器自己,也可以是任何其他机器。在目标机器看来,
#这个请求来自 SSH 服务器,相当于连到了服务器的内网。
场景1
例如你被封在家,想连接到公司的数据干活。IT部门只给了你一个跳板机172.16.1.60。 你在家里用笔记本连上wifi就可以连上这个机器。 这个机器是公司外网的出口。这也是做过一次NAT转换的。
现在你可以连接数据库了,可是跳板机上没有你习惯使用的工具,例如navicat. 此时在不麻烦it同时的前提下你可以通过远程端口转发来解决这个问题. (如果公司网路有堡垒机或者其他网络隔离设备可能会禁掉)
大致架构如下
需要做的就是将远程的数据库3306上的服务通过对外的跳板机映射到本地,你就可以使用navicat连接数据库了。
在你本地的git bash中或者powershell执行以下命令
ssh -N -L -f 3301:192.168.122.76:3306 172.16.1.60
这个ssh命令的意思是所有跟3301端口的TCP数据传输都会直接通过ssh通过在服务器172.16.1.60 上转发给数据库服务器(192.168.122.76:3306)。
也就是说将本地的3301 端口应到了内网的3306端口。
至此你就可以使用navicat连接本地的3301 端口连接远程数据库服务了.
场景二
ssh -L参数解释
ssh 远程端口的安全问题
这里3301 并不是打错了。毕竟3306 是个知名端口。如果有人扫描到你的机器3306是开启的,可能会发起攻击影响内网的数据库服务, 所以一般都会伪装一个端口。例如你去阿里上买一个rds. 数据库连接一般都有不是原生端口?
远程端口转发
“远程端口转发”(remote forwarding)当然是指绑定远程端口的转发
将远程(ssh 服务器)机器上的端口转发到本地(ssh 客户端)机器上的端口,然后再转发到目标机器上的端口。
远程端口转发的语法
#[REMOTE:]REMOTE_PORT- 远程 SSH 服务器上的 IP 和端口号。空的REMOTE意味着远程 SSH 服务器将绑定到所有接口。
#DESTINATION:DESTINATION_PORT- 目标机器的 IP 或主机名和端口。
#[USER@]SERVER_IP- 远程 SSH 用户和服务器 IP 地址。
ssh -R [REMOTE:]REMOTE_PORT:DESTINATION:DESTINATION_PORT [USER@]SSH_SERVER
场景一
场景如下图,外网可以访问内部的一个服务,在任何有网络的地方(而不再限制在某台主机上,应用更广泛)都可以访问你的服务啦。
注意:
在公网上需要放行安全组8888这个端口。
在10.0.0.4上执行远程端口转发命令,该主机和公网22端口可达。(其实只要求公网能ssh到10.0.0.4就可以了,企业里面一般都是出口松进口严)
ssh -R 8888:10.0.0.3:8080 44.11.22.33
远程端口转发和本地端口转发要在哪台服务器上执行
本地: 就在你本地就可以了
远程: 在中转服务器上执行。
场景二
ssh -R 参数解释
端口转发的选项
-N 代表不开启ssh连接,会启动一个阻塞的进程,直到 Ctrl-C 手动终止掉。
-L 参数来做本地端口转发。
-f 后台启用
-g 实现网关功能(GatewayPorts yes)
端口转发需要修改哪些ssh配置
无论是本地端口转发还是远程端口转发,都需要在服务器上配置 。
这个参数一般好像都关闭的.
/etc/ssh/sshd_config:
GatewayPorts yes
如果长时间保持连接,那么还需要开启:
TCPKeepAlive yes
顾名思义 TCPKeepAlive 运行在 TCP 层,通过发一个空包来保持连接。如果你的服务器有复杂的防火墙,或者本地所在的网络运营商比较奇怪,这个包可能会被丢掉。这时可以用 ServerAliveInterval 60 来在 SSH 协议一层保持连接。方便起见这些参数也可以在建立连接时指定,比如:
ssh -L 8080:localhost:33062 harttle@mysql.example.com -o TCPKeepAlive=true ServerAliveInterval=60
也可以装一个 autossh 包,让它来托管 ssh 服务,这样会更稳定:
autossh -NR 8080:localhost:32400 harttle@example.com
以上 ssh 命令都可以在 Linux 或 MacOS 下工作,如果在 Windows 下也有其他的选择。比如你安装了 WSL,那么可以在 WSL 里执行上述命令。也可以安装一个 SSH 客户端,比如在 PuTTY 下可以在“连接->SSH->隧道”里相应地设置本地和远程端口、IP。
开机自动建立隧道
在 Linux 下可以把上述命令直接写成一个 systemd 脚本,可参考 使用 systemd 管理 Node.js 应用 一文;在 Windows 下可以利用任务计划程序建立一个任务,如果本地安装有 WSL,可以添加一个 Action 设置命令为 wsl 参数为
autossh -NR 8080:$(cat /etc/resolv.conf | grep nameserver | awk '{print $2}'):32400 example.com
注意 WSL2 启用了 HyperV 运行在某个子网下,宿主机器的 IP 是不确定的,需要用 cat /etc/resolv.conf | grep nameserver | awk ‘{print $2}’ 来获得 WSL 宿主机器的 IP。
参考
【1】 ssh配置优化
【2】windows创建隧道