SSH端口转发详解及实例-转载

时间:2022-06-19 11:56:11
作者:珂儿吖

出处:http://www.cnblogs.com/keerya/

正文

一、SSH端口转发简介

  SSH会自动加密和解密所有SSH客户端与服务端之间的网络数据。但是,SSH还能够将其他TCP端口的网络数据通SSH链接来转发,并且自动提供了相应的加密及解密服务。这一过程也被叫做"隧道"(tunneling),这是因为SSH为其他TCP链接提供了一个安全的通道来进行传输而得名。例如,Telnet ,SMTP ,LDAP这些TCP应用均能够从中得益,避免了用户名,密码以及隐私信息的明文传输。而与此同时,如果工作环境许中的防火墙限制了一些网络端口的使用,但是允许SSH的连接,也能够将通过将TCP用端口转发来使用SSH进行通讯。

1.1 SSH端口转发的两大功能

  • 加密SSH Client端至SSH Server端之间的通讯数据。
  • 突破防火墙的简直完成一些之前无法建立的TCP连接。

二、本地转发

命令:-L localport:remotehost:remotehostport sshserver

说明:localport       本机开启的端口号

remotehost      最终连接机器的IP地址

remotehostport        转发机器的端口号

sshserver       转发机器的IP地址

选项:-f 后台启用

-N 不打开远程shell,处于等待状态(不加-N则直接登录进去)

-g 启用网关功能

接下来,我们通过实验来详细的说明一下如何实现本地转发:

实验一:实现SSH端口转发——本地转发

  • 背景:企业内部C服务器只允许telnet连接(23端口)访问,不允许外部直接访问,B服务器是一个ssh服务器;有一个用户需要从外部连接到企业内部的C服务器。
  • 前提:防火墙允许22端口进来(或者企业内部有一个堡垒机,ssh -t通过堡垒机进去)。
  • 原理:A用户通过ssh协议连接到B机器上,再通过B机器做跳板,连接至C机器。
  • 机器:rhel5模拟A用户,centos6模拟B机器,centos7模拟C机器
  • 图示如下:

SSH端口转发详解及实例-转载

  • 实验步骤:

1)模拟C机器不允许A用户连接,并且开启B机器的telnet服务端口23。

在centos7上输入以下口令:

iptables -A INPUT -s 192.168.191.55 -j REJECT

SSH端口转发详解及实例-转载

此时,从rhel5用ssh命令连接centos7,是拒绝的:

SSH端口转发详解及实例-转载

同时,我们还要开启7的telnet服务端口23:

systemctl start telnet.soc ket

ss -ntl命令可以查看的服务端口是否已开启

SSH端口转发详解及实例-转载

2)开启端口转发(telnet隧道)

首先,我们在5机器上确认已经开启的端口有哪些:

SSH端口转发详解及实例-转载

我们使用的端口是9527端口,从上图中我么已经看出,9527端口没有被占用,所以我们可以使用~

接着我们建立本地转发的隧道(5上输入以下命令):

ssh -L 9527:192.168.191.77:23 -fN 192.168.191.66

SSH端口转发详解及实例-转载

在这里,我们可以使用ps aux来查询后台运行的进程。也可以通过ss -nt查看接口连接情况:

SSH端口转发详解及实例-转载

SSH端口转发详解及实例-转载

3)在rhel5上输入以下命令,用9527端口连接自己:

telnet 127.0.0.1 9527

SSH端口转发详解及实例-转载

此时,我们可以查看一下centos6和centos7的连接情况:

SSH端口转发详解及实例-转载

SSH端口转发详解及实例-转载

至此,我们已经实现了A用户在公司外部远程连接C机器的需求,接下来我们就来讲一讲实现过程:

data <- -> localhost:9527端口 <- -> localhost:XXXXX(随机在客户端6开一个端口) <- -> sshsrv:22(通过ssh封装) <- -> sshsrv:YYYYY(服务器解封装,开一个端口,代表telnet客户端) <- -> telnetsrv:23

  用大白话来解释就是:当rhel5(A用户)连接自己的9527端口时,该请求自然会通过ssh协议封装发送给centos6(B机器),然后在centos6(C机器)上解封装,形成telnet流量,发送给centos7(C机器)。

  实验做完了,如果我们想要停止这个隧道,直接把后台的隧道进程杀死就可以了,命令如下:

  killall ssh

SSH端口转发详解及实例-转载

  我们的实验圆满完成ヾ(✿゚▽゚)ノ

三、远程转发

  在我们实验一的场景下,首先要满足的是防火墙上必须打开22端口,但是在现实生活中,企业处于安全考虑,一般是不会打开防火墙,只允许出不允许进。所以,当防火墙的端口没有打开的时候,我们要怎么办呢?这就要用到我们接下来要说的远程转发了:

命令:-R sshserverport:remotehost:remotehostport sshserver

说明:sshserverport         被转发机器开启的端口号

remotehost          最终连接机器的IP地址

remotehostport        被转发机器的端口号

sshserver             被转发机器的IP地址

  同样的,我们以实验来具体说明我们的远程转发:

实验二、实现SSH端口转发——远程转发

  • 背景:企业内部C服务器只允许telnet连接(23端口)访问,不允许外部直接访问,B服务器是一个ssh服务器;有一个用户需要从外部连接到企业内部的C服务器。
  • 原理:B机器访问A用户,给A用户转发
  • 机器:rhel5模拟A用户,centos6模拟B机器,centos7模拟C机器
  • 图示如下:

SSH端口转发详解及实例-转载

  • 实验步骤:

1)模拟C机器不允许A用户连接,并且开启B机器的telnet服务端口23。

  在centos7上输入以下口令:

  iptables -A INPUT -s 192.168.191.55 -j REJECT

SSH端口转发详解及实例-转载

  此时,从rhel5用ssh命令连接centos7,是拒绝的:

SSH端口转发详解及实例-转载

  同时,我们还要开启7的telnet服务端口23:

  systemctl start telnet.soc ket

  用ss -ntl命令可以查看的服务端口是否已开启

SSH端口转发详解及实例-转载

2)开启隧道转发(telnet隧道)

这一次,由于防火墙完全关闭,外部的设备连接不进来,所以我们要通过B机器去连接A用户的机器,因此,我们的开启隧道命令要在B机器(centos6)上运行:

首先,我们要确定一下centos6上开启了哪些端口:

SSH端口转发详解及实例-转载

然后,我们选择一个没有被开启的端口开启隧道,进行实验:

SSH端口转发详解及实例-转载

  同样的,在这里,我们可以使用ps aux来查询后台运行的进程。也可以通过ss -nt查看接口连接情况:

SSH端口转发详解及实例-转载

SSH端口转发详解及实例-转载

3)在rhel5上输入以下命令,用9527端口连接自己:

telnet 127.0.0.1 9527

SSH端口转发详解及实例-转载

此时,我们可以查看一下centos6和centos7的连接情况:

SSH端口转发详解及实例-转载

SSH端口转发详解及实例-转载

至此,我们已经实现了A用户在公司外部远程连接C机器的需求,接下来我们就来讲一讲实现过程:

  data <- -> sshsrv:9527端口 <- -> sshsrv:22(通过ssh封装) <- -> localhost:XXXXX(随机在客户端6开一个端口) <- -> localhost:YYYYY(服务器解封装,开一个端口,代表telnet客户端) <- -> telnetsrv:23

  用大白话来解释就是:当rhel5(A用户)连接自己的9527端口时,该请求自然会通过ssh协议封装发送给centos6(B机器),然后在centos6(C机器)上解封装,形成telnet流量,发送给centos7(C机器)。

  实验做完了,如果我们想要停止这个隧道,直接把后台的隧道进程杀死就可以了,命令如下:

  killall ssh

SSH端口转发详解及实例-转载

  我们的实验圆满完成ヾ(✿゚▽゚)ノ

四、动态转发

  众所周知,我国有一个功能强大的防火墙,用来避免我们访问谷歌等外国的部分网站,嗯。。。FQ的方法有很多,相信大家不比小编懂的少,所以我们就不一一举例说明了。接下来,小编就给大家说一说如何通过ssh转发技术实现FQ~

  这里,就要用到我们的动态转发技术了:

  当用firefox 访问internet 时,本机的1080 端口做为代理服务器,firefox 的访问请求被转发到sshserver 上,由sshserver替之访问internet。

  接下来,我们还是以实验进行说明:

实验三、实现SSH端口转发——动态转发

  • 背景:模拟Google的服务器C不允许国内网站A直接访问,B服务器是国外的一个小型的学习用的服务器;国内网站A可以访问国外学习服务器B;实现国内网站A访问模拟Google服务器C。
  • 原理:国内网站A通过ssh协议连接到国外学习服务器B上,再通过国外学习服务器B做跳板,连接至Google服务器C。
  • 机器:centos6模拟国内网站A,rhel5模拟国外学习服务器B,centos7模拟Google服务器C
  • 图示如下:

SSH端口转发详解及实例-转载

  • 实验步骤:

1)在模拟google服务器C上搭建一个网页,从互联网*问centos7时,页面显示"Welcome to www.google.com"

  命令如下:

[root@centos7 ~]# cd /var/www/html/
[root@centos7 html]# vim index.html
<h1> Welcome to www.google.com </h1>

编写完文件以后,记得重启一下httpd服务:

[root@centos7 html]# systemctl restart httpd 

2)模拟Google服务器C不允许国内网站A连接

  在centos7上输入以下口令:

  [root@centos7 ~]# iptables -A INPUT -s 192.168.191.66 -j REJECT

  此时,我们来测试一下centos6和rhel5能否访问centos7,命令为:

  curl 192.168.191.77 或 links 192.168.191.77

SSH端口转发详解及实例-转载
[root@rhel5 ~]# curl 192.168.191.77
<h1> Welcome to www.google.com </h1> [root@centos6 ~]# curl 192.168.191.77
curl: (7) couldn't connect to host
SSH端口转发详解及实例-转载

  可以看出,rhel5可以连接到centos7,但是centos6不能连接到centos7。我们现在的需求就是希望centos6可以借助于rhel5访问centos7,方法也很简单,接下来就给大家说一说。

3)动态端口转发

首先,我们在6机器上确认已经开启的端口有哪些:

SSH端口转发详解及实例-转载

  我们使用1080端口,从上图中我么已经看出,1080端口没有被占用,所以我们可以使用~

  接着我们建立动态转发的隧道(6上输入以下命令):

  ssh -D 1080 -fN 192.168.191.55

SSH端口转发详解及实例-转载

在这里,我们可以在rhel5上查看到centos6的连接:

SSH端口转发详解及实例-转载

4)设置代理rhel5访问centos7,命令如下(在centos6上输入):

  curl --socks5 127.0.0.1:1080 http://192.168.191.77

SSH端口转发详解及实例-转载

5)在图形化界面,在centos6上的firefox浏览器设置代理:

SSH端口转发详解及实例-转载

SSH端口转发详解及实例-转载

SSH端口转发详解及实例-转载

SSH端口转发详解及实例-转载

  我们的实验圆满完成ヾ(✿゚▽゚)ノ

SSH端口转发详解及实例-转载的更多相关文章

  1. SSH端口转发详解及实例

    一.SSH端口转发简介 SSH会自动加密和解密所有SSH客户端与服务端之间的网络数据.但是,SSH还能够将其他TCP端口的网络数据通SSH链接来转发,并且自动提供了相应的加密及解密服务.这一过程也被叫 ...

  2. Linux:ssh端口转发详解

    ssh是个多用途的工具,不仅可以远程登录,还可以搭建socks代理.进行内网穿透,这是利用它的端口转发功能来实现的. 所谓ssh端口转发,就是在ssh连接的基础上,指定 ssh client 或 ss ...

  3. SSH端口转发详解

    正文 一.SSH端口转发简介 SSH会自动加密和解密所有SSH客户端与服务端之间的网络数据.但是,SSH还能够将其他TCP端口的网络数据通SSH链接来转发,并且自动提供了相应的加密及解密服务.这一过程 ...

  4. SSH远程登录和端口转发详解

     SSH远程登录和端口转发详解   介绍 SSH 是创建在应用层和传输层基础上的安全协议,为计算机上的 Shell(壳层)提供安全的传输和使用环境. SSH 只是协议,有多种实现方式,本文基于其开源实 ...

  5. hadoop ssh 端口-ssh-copy-id详解

    ssh-copy-id详解 http://www.blogdaren.com/post-1815.html 服务器时常需要配置无密码的登录方式,最一般的设置方式如下: 使用ssh-keygen和ssh ...

  6. log4j&period;properties配置详解与实例&lpar;转载&rpar;

    转自:http://blog.sina.com.cn/s/blog_5ed94d710101go3u.html 最近使用log4j写log时候发现网上的写的都是千篇一律,写的好的嘛不全,写的全一点的嘛 ...

  7. 利用SSH端口转发实现跨机器直接访问

    在实际项目测试中经常会遇到数据库操作,但是因为公司安全问题,访问数据库往往需要通过跳板机.但通过跳板机,测试效率大打折扣,因此通过使用SSH端口转发,从而达到跨机器直接访问数据库.实际项目中的应用会比 ...

  8. httpd配置文件详解及实例

    httpd配置文件详解及实例 作者:尹正杰 版权声明:原创作品,谢绝转载!否则将追究法律责任. 一.http协议的组成 http协议是C/S架构:我们可以把浏览器(如:IE,Firefox,Safar ...

  9. ssh端口转发(之kettle ssh方式连接数据库)

    ssh参数解释 格式 ssh  [user@]host [command] 选项: -1:强制使用ssh协议版本1: -2:强制使用ssh协议版本2: -4:强制使用IPv4地址: -6:强制使用IP ...

随机推荐

  1. NHibernate中多表(对象)间的查询

    一个比较简单的查询代码如下:   IList userList=session.Find (" from testMSSql.student as student where student ...

  2. 如何在图像处理工具包ImagXpress中对图像进行捕捉、复制和粘贴

    如何在在ImagXpress中进行图像的捕捉. 复制和粘贴呢?下面详细来看一下,在多种情况下,图和实现这些操作. 捕捉屏幕图像 捕捉通过ImageXView窗口绑定的屏幕范围,以及保存到一个Image ...

  3. c&num;调用系统资源大集合-3

    public static void 打开控制面板多媒体属性音频() { Process.Start("rundll32.exe", " shell32.dll,Cont ...

  4. java修改远程服务器密码

    积累: 1. echo 用户名:新密码 | chpasswd

  5. windows计划任务

    前段时间写了一个小工具,实现两个数据库的数据同步. 需求:要求每天的某个时间自动同步数据 功能写好之后,发现了windows一个自带的功能不错,可以实现我的需要,不用写定时器触发了 控制面板-> ...

  6. Codeforces Round &num;551 &lpar;Div&period; 2&rpar; 题解

    CF1153A 直接做啊,分类讨论即可 #include<iostream> #include<string.h> #include<string> #includ ...

  7. python网络编程(十一)

    epoll版-TCP服务器 1. epoll的优点: 没有最大并发连接的限制,能打开的FD(指的是文件描述符,通俗的理解就是套接字对应的数字编号)的上限远大于1024 效率提升,不是轮询的方式,不会随 ...

  8. luogu P2508 &lbrack;HAOI2008&rsqb;圆上的整点

    传送门 推荐去bzoj看个视频了解一下 不要妄想视频直接告诉你题解 但是视频告诉了你后面要用的东西 首先我们要求的是\(x^2+y^2=n^2(x,y\in Z)\)的\((x,y)\)对数,可以转化 ...

  9. 实例应用 自定义页面taglib标签

    关于继承TagSupport与BodyTagSupport的区别说明 * <code>TagSupport</code>与<code>BodyTagSupport& ...

  10. 中山纪念中学培训DAY1

    哇啊啊啊啊啊啊$……$ 并不像说环境怎么样. $Day1$模拟赛 稳重一点选了提高$B$ 然后$5min$后: $t1$装压$DP$最短路 $t2$裸地贪心 $t3……$哇$t3$怎么做啊啊啊啊. $ ...