DevOps知识中心
DevOps知识中心

实现本地和远程 SSH 端口转发以进行隧道传输

通过 SSH 端口转发解锁安全的网络访问和防火墙穿越。本综合指南详细介绍了本地(`-L`)和远程(`-R`)SSH 隧道技术的实际实现。了解基本语法,理解访问远程服务与公开本地服务之间的关键区别,并查看诸如保护数据库连接或共享开发环境等任务的清晰示例。包括使用基于密钥的身份验证创建持久、安全后台隧道的重要最佳实践。

34 浏览量

实施本地和远程 SSH 端口转发以建立隧道

SSH(安全外壳协议)是安全远程系统管理不可或缺的协议。除了提供加密终端访问的核心功能外,SSH 还提供了一项强大的功能,即端口转发,通常被称为SSH 隧道。这项技术允许用户创建安全的加密通道,通过 SSH 连接路由任意网络流量。

SSH 隧道主要用于绕过限制性防火墙,通过将明文协议(如 HTTP 或数据库连接)封装在加密的 SSH 流中来确保其安全,或访问未公开的内部网络资源。理解本地和远程端口转发之间的区别,对于在复杂的网络架构中部署有效且安全的隧道解决方案至关重要。

本指南将探讨本地和远程 SSH 端口转发的机制、语法和实际应用,为您提供在不同边界之间安全路由网络流量所需的知识。

理解 SSH 隧道基础

SSH 隧道建立了一个安全的点对点连接,其中一台机器上的特定端口被映射到另一台机器上的特定端口,SSH 服务器作为中继点。所有通过此隧道传输的数据都会由 SSH 协议自动加密,从而确保机密性和完整性。

端口转发主要有三种类型:本地、远程和动态(SOCKS 代理)。本文重点介绍两种最常见的直接隧道方法:本地 (-L) 和远程 (-R)。

1. 本地端口转发 (L-隧道)

本地端口转发是最常见的隧道形式。它允许本地客户端机器(隧道发起端)访问目标主机上的服务,而该服务可由 SSH 服务器访问。

可以将本地转发视为安全访问进入远程网络。

用例:保护数据库访问

假设您需要访问在私有网络 (10.0.0.5) 上运行的 MySQL 数据库(端口 3306)。您的本地机器无法直接访问此私有 IP,但堡垒机 SSH 服务器 (bastion.example.com) 可以。本地转发将您本地机器上的一个端口通过堡垒机映射到远程数据库端口。

本地转发语法 (-L)

命令结构如下:

ssh -L [LocalPort]:[DestinationHost]:[DestinationPort] [SSHUser]@[SSHServer]
参数 描述
LocalPort 您将在本地机器上连接的端口。
DestinationHost 您想要连接的最终服务的 hostname/IP。
DestinationPort DestinationHost 上最终服务的端口。
SSHServer 处理隧道的中间服务器(堡垒机)。

本地转发的实际示例

要通过连接到本地机器上的端口 9999 来访问远程 MySQL 服务器 (10.0.0.5:3306):

ssh -L 9999:10.0.0.5:3306 [email protected]

连接建立后,任何本地连接到 localhost:9999 的流量都将通过 bastion.example.com 安全地隧道传输,并到达 10.0.0.5:3306

连接到服务:

# 将您的应用程序(例如 MySQL 客户端)连接到:
Host: 127.0.0.1
Port: 9999

2. 远程端口转发 (R-隧道)

远程端口转发不那么直观。它允许远程 SSH 服务器访问在本地客户端机器上运行的服务,该隧道就是在此机器上发起的。

可以将远程转发视为将本地服务通过 SSH 服务器暴露给远程网络。

用例:暴露本地开发服务器

假设您在笔记本电脑上运行着一个本地 Web 开发服务器,端口为 3000,但您需要同事(或 webhook 服务)通过您面向公众的 SSH 服务器 (public.example.com) 来访问它。

远程转发语法 (-R)

命令结构如下:

ssh -R [ServerPort]:[DestinationHost]:[DestinationPort] [SSHUser]@[SSHServer]
参数 描述
ServerPort 将在 SSH 服务器上打开的端口。
DestinationHost 本地端的主机(通常是 localhost127.0.0.1)。
DestinationPort 您想要暴露的本地服务的端口。
SSHServer 将承载公共可访问端口的远程服务器。

远程转发的实际示例

要通过公共 SSH 服务器上的端口 8080 暴露您运行在端口 3000 的本地 Web 服务器:

ssh -R 8080:localhost:3000 [email protected]

隧道建立后,连接到 public.example.com:8080 的用户流量将安全地隧道传输回您本地机器的端口 3000

服务器配置注意:GatewayPorts

默认情况下,大多数 SSH 服务器仅侦听环回接口 (127.0.0.1) 上的远程转发连接。如果您需要 SSH 服务器上的转发端口可由外部主机访问(即,使您的本地服务真正公开),则必须配置 SSH 服务器 (sshd_config) 以启用 GatewayPorts yes 并重启 SSH 服务。如果没有此设置,连接将只能由直接在 SSH 服务器本身上运行的其他应用程序使用。

SSH 隧道最佳实践

为确保您的隧道可靠、安全且高效运行,请考虑以下操作提示。

在后台运行隧道

为实现持续运行,隧道应脱离终端会话并在后台静默运行。请使用以下标志:

  • -N:不执行远程命令(严格用于端口转发)。
  • -f:请求 ssh 在命令执行前进入后台。

示例(后台本地隧道):

ssh -Nf -L 80:internal.web.site:80 [email protected]

使用基于密钥的认证

始终使用 SSH 密钥而非密码,特别是对于自动化或长时间运行的隧道。这可以防止与密码提示相关的超时问题,并且本质上更安全。

控制隧道生命周期

如果使用隧道的应用程序不经常发送流量,连接可能会因不活动或网络问题而中断。为防止这种情况,请配置客户端发送周期性“保持活动”消息。

# 每 60 秒发送一个空包以保持连接打开
ssh -o ServerAliveInterval=60 -L 9999:host:port user@server

安全注意事项

  1. 最小权限原则: 只转发必要的端口。不要创建大开的隧道。
  2. 审计 sshd_config 使用远程转发时,请谨慎设置 GatewayPorts yes,因为这会公开内部服务。确保适当的防火墙规则保护 SSH 服务器。
  3. 隧道用户: 如果可能,在 SSH 服务器上专门为隧道创建一个专用的、高度受限的用户账户,限制其 shell 访问权限 (/sbin/nologin)。

差异总结

本地转发和远程转发的根本区别在于监听端口的位置以及相对于 SSH 服务器的流量流向。

特性 本地转发 (-L) 远程转发 (-R)
监听端口 在客户端机器上(本地) 在 SSH 服务器上(远程)
流量目标 访问服务器后的服务。 通过服务器暴露本地服务。
发起方 客户端连接到自己的本地端口。 远程主机连接到服务器的端口。
方向(相对于服务器) 流量从服务器流向目标主机。 流量从服务器流回发起客户端。

SSH 端口转发提供了一种健壮、加密且高度灵活的方法,用于安全地导航复杂的网络环境。通过掌握 -L-R 标志,管理员和开发人员可以确保敏感流量受到保护,同时实现必要的网络连接。