SSH隧道技术----端口转发

@Author : Roger TX (425144880@qq.com)
@Link : https://github.com/paotong999

什么是SSH隧道

首先看下面的例子,我们所面临的大部分情况都和它类似。

  • 内网的机器A,公网的机器B,某服务器C
  • A可以连接B,B可以连接C,但是AC之间不能连接
  • 这个时候如果B能运行一个OpenSSH服务器,那么就可以通过B形成隧道连接AC

跳转机的端口转发服务

我们建立ssh隧道的时候,往往是想通过一台公网的主机或者是大家都可以访问的主机做跳转机,来访问内部或者外部不能直接访问的机器。所以一般像这种情况下,请将跳转机中的ssh服务器中的GatewayPorts设为yes

ssh是linux远程登录的安全协议,是 C/S 模式的架构,配置文件分为服务器端配置文件 [/etc/ssh/sshd_config] 与客户端配置文件默认配置文件[/etc/ssh/ssh_config] 用户配置文件[~/.ssh/config]。sshd_config 是服务端主配置文件这个文件的宿主应当是root,权限最大可以是"644"

关于sshd_config配置详解,这里不会过多涉及,有兴趣的同学可以自行查找材料,这里主要说下GatewayPorts
GatewayPorts

1、是否允许远程主机连接本地的转发端口。默认值是"no"。
2、sshd(8) 默认将远程端口转发绑定到loopback地址。这样将阻止其它远程主机连接到转发端口。
3、GatewayPorts 指令可以让 sshd 将远程端口转发绑定到非loopback地址,这样就可以允许远程主机连接了。
4、"no"表示仅允许本地连接,"yes"表示强制将远程端口转发绑定到统配地址(wildcard address),
"clientspecified"表示允许客户端选择将远程端口转发绑定到哪个地址。

修改完成之后,重启sshd服务

service sshd reload

本地SSH隧道

在建立本地SSH隧道之前要清楚下面几个参数:

  • 公网机器B的IP地址(这里是192.168.199.16)
  • 公网机器B的端口号(这里是3333)
  • 某服务器C的IP地址(这里是139.199.0.37)
  • 某服务器C的端口号(端口:22)

在清楚了上面的参数后,我们使用下面的命令来建立一个远程SSH隧道,在192.168.199.16的主机上执行下面的命令:

ssh -Nf -L 192.168.199.16:3333:139.199.0.37:22 192.168.199.16

这里我们用到了SSH客户端的三个参数,下面我们一一做出解释:

  • -N 告诉SSH客户端,这个连接不需要执行任何命令。仅仅做端口转发
  • -f 告诉SSH客户端在后台运行
  • -L 做本地映射端口,被冒号分割的三个部分含义分别是最后一个参数是我们用来建立隧道的中间机器的IP地址(IP: 192.168.199.16)
    • 需要使用的本地端口号(端口: 3333)
    • 需要访问的目标机器IP地址(IP: 139.199.0.37)
    • 需要访问的目标机器端口(端口: 22)

那么本地局域网的任何机器访问192.168.199.16:3333都会自动被映射到139.199.0.37:22。

远程SSH隧道

内网的机器A,公网的机器B,某服务器C
A可以连接B,B可以连接C,但是AC之间不能连接
这个时候如果B能运行一个OpenSSH服务器,那么就可以通过B形成隧道连接AC

1、上述例子中A-B-C连通后,我们思考一个问题,如果C想通过B连接A,也就是C-B-A可以连接吗?
2、也许你已经注意到了,A是内网机器,所以C-B-A这个方向的连接不通。
3、虽然D-B-A这个方向的连接不通,但是A-B-D这个方向的连接是没有问题的。
4、我们可以使用远程SSH隧道的功能利用一条已经连接好的A-B-D方向的连接来完成 D-B-A方向的访问。

与本地SSH一样,我们在建立远程SSH隧道之前要清楚下面几个参数:

  • 公网机器B的IP地址(这里是139.199.0.37)
  • 公网机器B的端口号(这里是2222)
  • 内网的机器A的IP地址(这里是192.168.199.16)
  • 内网的机器A的端口号(端口:22)

在清楚了上面的参数后,我们使用下面的命令来建立一个远程SSH隧道,在192.168.199.16的主机上执行下面的命令:

ssh -Nf -R 139.199.0.37:2222:192.168.199.16:22 139.199.0.37

1、这个命令也可以在局域网里192.168.199.12上执行
2、只要在局域网里192.168.199.12可以直接连接内网主机192.168199.16
3、且192.168.199.12可以直接与公网主机139.199.0.37建立ssh连接
4、那么任何外网主机通过访问公网主机139.199.0.37:2222就会被连接到192.168.199.16:22
5、从而可以完成外网穿越NAT到内网的访问,而不需要在内网网关和路由器上做任何操作。

现在,在IP是139.199.0.37的机器上,我们用下面的命令就可以登陆公司的IP是192.168.199.16的机器了。

ssh -p 2222 localhost

SSH隧道需要注意的地方

自动重连

       隧道可能因为某些原因断开,例如:机器重启,长时间没有数据通信而被路由器切断等等。因此我们可以用程序控制隧道的重新连接,可以使用一个简单的循环控制隧道重新连接。

保持长时间连接

       有些路由器会把长时间没有通信的连接断开。SSH客户端的TCPKeepAlive选项可以避免这个问题的发生,默认情况下它是被开启的。如果它被关闭了,可以在ssh的命令上加上-o TCPKeepAlive=yes来开启。
       另一种方法是,去掉-N参数,加入一个定期能产生输出的命令。例如: vmstat,下面给出一个这种方法的例子:

ssh -R 139.199.0.37:2222:192.168.199.16:22 139.199.0.37 "vmstat 30"

如何将端口绑定到外部地址上

       使用上面的方法,映射的端口只能绑定在127.0.0.1这个接口上。也就是说,只能被本机自己访问到。如何才能让其他机器访问这个端口呢?我们可以把这个 映射的端口绑定在0.0.0.0的接口上,方法是加上参数-b 0.0.0.0。同时还需要打开SSH服务器端的一个选项-GatewayPorts。默认情况下它应当是被打开的。如果被关闭的话,可以在/etc /sshd_config中修改GatewayPorts no为GatewayPorts yes来打开它。

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 203,547评论 6 477
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 85,399评论 2 381
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 150,428评论 0 337
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,599评论 1 274
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,612评论 5 365
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,577评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 37,941评论 3 395
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,603评论 0 258
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,852评论 1 297
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,605评论 2 321
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,693评论 1 329
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,375评论 4 318
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 38,955评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,936评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,172评论 1 259
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 43,970评论 2 349
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,414评论 2 342

推荐阅读更多精彩内容

  • 名词延伸 通俗的说,域名就相当于一个家庭的门牌号码,别人通过这个号码可以很容易的找到你。如果把IP地址比作一间房子...
    杨大虾阅读 20,585评论 2 57
  •   本文将介绍两种应用场景的SSH端口转发,分别是SSH本地转发以及SSH远程转发。 简介   SSH(Secur...
    KingFighting阅读 1,459评论 0 5
  • 为了消遣设计。多年之前人们在这个命题上喜欢讨论咬笔头这件事,也因此诞生了一些产品。 看到一个新的设计,分享一下。 ...
    Cisa阅读 239评论 0 2
  • 人人都能够看懂,但只有1%的人会爱我的这碗粥! 我听说过一句话 现在的社交媒体环境下,人人都可以成为"网红" 但你...
    早安就酱阅读 1,669评论 2 1
  • 一日,和朋友在洛杉矶一家有名的咖啡厅闲坐,品着咖啡。这时进来一个人,坐在我们旁边的那张桌子旁。 他叫来服务生说:“...
    六六小淘气阅读 421评论 0 0