DevOps知识中心
DevOps知识中心

揭秘 SSH 端口转发:本地、远程和动态隧道详解

通过这份综合指南释放 SSH 端口转发的强大功能。学习如何使用本地、远程和动态转发来创建安全隧道。了解实际应用场景,从访问受限数据库到在公共 Wi-Fi 上安全浏览,并掌握基本命令以增强您的网络安全和访问能力。

42 浏览量

揭秘 SSH 端口转发:本地、远程和动态隧道详解

安全外壳(SSH)是安全远程访问的基石,它为管理服务器和传输文件提供了加密的通信通道。除了核心功能外,SSH 还提供了一个强大但常被低估的功能:端口转发。此技术允许您创建安全的隧道,将 SSH 的加密扩展到其他网络流量,从而访问未直接暴露于互联网的服务,或安全地桥接网络段。

本文将深入探讨 SSH 端口转发的复杂性,并分解其三种主要形式:本地、远程和动态。我们将探讨每种类型的工作原理、具体的用例,并提供实用的示例,以帮助您利用这种高级的 SSH 功能来增强安全性和网络灵活性。

理解基础:什么是端口转发?

从本质上讲,SSH 端口转发,也称为 SSH 隧道,是将网络流量从一个网络接口和端口重定向到另一个网络接口和端口。您不再是直接连接到远程机器上的服务,而是先建立一个 SSH 连接,然后告诉 SSH 将发送到本地端口的流量转发到远程机器上的特定目标端口(反之亦然),所有这些都在加密的 SSH 通道内完成。

这带来了几项优势:

  • 安全性:加密那些本应在客户端和目标服务之间以未加密方式传输的流量。
  • 访问控制:允许访问运行在私有网络或防火墙后、且当前位置无法直接访问的服务。
  • 网络桥接:安全地连接不同的网络段。

1. 本地端口转发 (-L)

本地端口转发是最常见的类型。它允许您通过 SSH 服务器,将您本地机器上的端口连接转发到远程机器上的端口。本质上,它使远程网络上运行的服务看起来像是运行在您本地机器上一样。

工作原理:

  1. 您在本地机器上启动一个 SSH 客户端。
  2. 您指定一个本地端口(local_port),SSH 将在该端口上侦听。
  3. 任何连接到本地机器上 local_port 的连接都将通过 SSH 连接转发到 remote_hostremote_port

语法:

ssh -L [local_bind_address:]local_port:remote_host:remote_port [user@]ssh_server_host
  • local_bind_address:(可选)用于绑定侦听端口的本地机器上的地址。默认为 localhost
  • local_port:SSH 将侦听的本地机器上的端口。
  • remote_host:SSH 服务器将连接的目标机器的主机名或 IP 地址。
  • remote_port:流量将被导向 remote_host 上的端口。
  • user@ssh_server_host:您的用户名以及您正在连接的 SSH 服务器的主机名/IP 地址。

实用用例: 访问运行在远程服务器私有 IP 地址上的数据库服务器。

想象一下,一台数据库服务器(例如,运行在 192.168.1.100:5432 上的 PostgreSQL)只能从您公司的内部网络访问。您可以使用本地端口转发从家里的笔记本电脑访问它:

ssh -L 5433:192.168.1.100:5432 your_user@your_ssh_server.com
  • 此命令将您连接到 your_ssh_server.com
  • 它会在您的本地机器上打开端口 5433(默认是 localhost)。
  • 任何连接到 localhost:5433 的流量都将通过 your_ssh_server.com 转发到 192.168.1.100:5432

现在,您可以配置本地数据库客户端连接到 localhost:5433,流量将安全地通过隧道传输到远程数据库服务器。

提示: 使用 ssh -N 创建隧道而无需执行远程命令。这对于后台隧道非常有用。

ssh -N -L 5433:192.168.1.100:5432 your_user@your_ssh_server.com

2. 远程端口转发 (-R)

远程端口转发允许您将 SSH 远程服务器上的端口连接转发到您本地机器或从本地机器可访问的另一台机器上的端口。这对于使您本地机器上运行的服务可供远程服务器或其网络访问非常有用。

工作原理:

  1. 您在本地机器上启动一个 SSH 客户端。
  2. 您指定一个 SSH 服务器上 SSH 将侦听的远程端口(remote_port)。
  3. 任何连接到 SSH 服务器上 remote_port 的连接都将通过 SSH 连接转发回您的本地机器,然后再转发到指定的 destination_hostdestination_port

语法:

ssh -R [remote_bind_address:]remote_port:destination_host:destination_port [user@]ssh_server_host
  • remote_bind_address:(可选)用于绑定侦听端口的 SSH 服务器上的地址。默认为 localhost(意味着只有 SSH 服务器本身可以连接到此端口)。使用 0.0.0.0* 允许远程网络上的其他机器连接。
  • remote_port:SSH 服务器上 SSH 将侦听的端口。
  • destination_host:您的 SSH 客户端将连接的目标机器的主机名或 IP 地址(如果服务在本地机器上,通常是 localhost)。
  • destination_port:流量将被导向 destination_host 上的端口。
  • user@ssh_server_host:您的用户名以及您正在连接的 SSH 服务器的主机名/IP 地址。

实用用例: 将本地 Web 服务器暴露给远程网络。

假设您正在笔记本电脑上开发一个 Web 应用程序,并希望向只能访问公司内部网络的同事进行演示,而您有一台可从该网络访问的 SSH 服务器(your_ssh_server.com)。

在您的笔记本电脑上,您将运行:

ssh -R 8080:localhost:3000 your_user@your_ssh_server.com
  • 此命令将您连接到 your_ssh_server.com
  • 它告诉 your_ssh_server.com 侦听端口 8080
  • 任何对 your_ssh_server.com:8080 的连接都将通过 SSH 隧道转发回您的笔记本电脑(localhost)的端口 3000(您的 Web 服务器正在运行的位置)。

现在,您的同事可以通过在浏览器中导航到 http://your_ssh_server.com:8080 来访问您的 Web 应用程序。流量将从他们的浏览器到达 SSH 服务器,通过隧道传输到您的笔记本电脑,然后到达您的 Web 服务器。

警告: 默认情况下,remote_port 绑定到 SSH 服务器上的 localhost。要允许远程网络上的其他机器访问转发的端口,您必须明确设置 remote_bind_address0.0.0.0*,并确保 SSH 服务器配置(sshd_config 中的 GatewayPorts yes)允许这样做。

ssh -R 0.0.0.0:8080:localhost:3000 your_user@your_ssh_server.com

3. 动态端口转发 (-D)

动态端口转发在您的本地机器上创建一个 SOCKS 代理。这可以说是最灵活的类型,因为它允许您通过 SSH 连接隧道传输任何支持 SOCKS 代理的应用程序。SSH 不转发特定端口,而是侦听本地端口并充当 SOCKS 代理服务器。

工作原理:

  1. 您在本地机器上启动一个 SSH 客户端。
  2. 您指定一个本地端口(local_port),SSH 将作为 SOCKS 代理侦听该端口。
  3. 您配置您的应用程序(Web 浏览器等)将 localhost:local_port 用作其 SOCKS 代理。
  4. 当应用程序通过此代理发出请求时,SSH 将流量转发到 SSH 服务器,然后 SSH 服务器代表您的应用程序连接到最终目的地。

语法:

ssh -D [local_bind_address:]local_port [user@]ssh_server_host
  • local_bind_address:(可选)用于绑定侦听 SOCKS 代理端口的本地机器上的地址。默认为 localhost
  • local_port:SSH 将作为 SOCKS 代理侦听的本地机器上的端口。
  • user@ssh_server_host:您的用户名以及您正在连接的 SSH 服务器的主机名/IP 地址。

实用用例: 在公共 Wi-Fi 上安全地浏览网页。

当连接到不受信任的公共 Wi-Fi 网络时,您的流量容易受到攻击。您可以使用动态端口转发将所有 Web 浏览流量通过加密的 SSH 连接隧道传输到受信任的服务器。

在您的笔记本电脑上运行:

ssh -D 1080 your_user@your_trusted_server.com
  • 此命令将您连接到 your_trusted_server.com
  • 它会在您的本地机器上打开端口 1080,充当 SOCKS 代理。

接下来,配置您的 Web 浏览器(或其他应用程序)将 localhost 上的端口 1080 用作 SOCKS 代理。

现在,您浏览器中的所有互联网请求都将发送到您的 SSH 服务器,然后 SSH 服务器获取数据并通过加密的 SSH 隧道将其发回给您。这有效地使您的 Web 流量看起来像是源自 your_trusted_server.com

提示: 您可以将 -D-C(用于压缩)结合使用,这在较慢的网络链接上可能很有益处。

ssh -C -D 1080 your_user@your_trusted_server.com

高级考虑和最佳实践

  • SSH 服务器配置(sshd_config:某些端口转发功能,特别是允许外部连接的远程转发(GatewayPorts),需要在 SSH 服务器上进行特定的配置。如果您需要远程转发可被 SSH 服务器网络上的其他机器访问,请确保 /etc/ssh/sshd_configGatewayPorts yes 未被注释并已设置。
  • 防火墙:请记住,客户端、服务器或中间网络上的防火墙可能会阻止 SSH 连接或转发使用的端口。确保必要的端口(通常 SSH 本身是 22)是开放的。
  • 安全性:虽然端口转发可以加密流量,但隧道的安全性取决于您的 SSH 服务器的安全性。使用强大的 SSH 密钥,禁用密码身份验证,并保持您的 SSH 服务器更新。
  • 持久性:对于长时间运行的隧道,请考虑使用 autossh 等工具,它可以监视并自动重启掉线的 SSH 隧道。

结论

SSH 端口转发是一个多功能的工具,它极大地扩展了安全外壳协议的实用性。通过掌握本地、远程和动态转发,您可以增强安全性、访问受限资源,并在网络之间创建安全的桥梁。无论您是需要保护未加密的流量、访问内部服务,还是仅在公共 Wi-Fi 上安全浏览,SSH 端口转发都提供了一个优雅而强大的解决方案。

试验这些技术,将它们融入您的日常工作流程中,以实现更安全、更灵活的网络操作。