Location:Home > ssh命令:隧道代理+本地端口转发+远程端口转发

ssh命令:隧道代理+本地端口转发+远程端口转发

   

0、前言

nc是一个在网络连接两端的好工具,同时也是也个临时的端口转发的好工具。(永久的端口转发用什么?用iptables)

ssh也是这方面的好工具,好处是加密可靠可复用在一端操作即可,代价是要有登录帐号。

我们知道,SSH 会自动加密和解密所有 SSH 客户端与服务端之间的网络数据。但是,SSH 还同时提供了一个非常有用的功能,这就是端口转发。它能够将其他 TCP 端口的网络数据通过 SSH 链接来转发,并且自动提供了相应的加密及解密服务。

 

1、隧道带理

典型应用:翻越中国高墙

需要条件:一个国外vps,一个不需要登录(安全)的帐号,一个命令。

 

vps新建帐号:useradd -g nobody -s /sbin/nologin  gfw && echo gfw_Passw0rd | passwd --stdin gfw

本地ssh连接:ssh -NfD 6666 gfw@vps -p 2222

可选转换:使用privoxy把socks5代理变成http代理供svn,pip,gem,curl等工具使用。

 

2、本地端口转发

 

我们可以将远程机器(LdapClientHost)上的应用直接配置到本机的 7001 端口上(而不是 LDAP 服务器的 389 端口上)。在 LdapClientHost 上执行如下命令即可建立一个 SSH 的本地端口转发,例如:

$ ssh -L 7001:localhost:389 LdapServerHost

 之后的数据流将会是下面这个样子:

  • 我们在 LdapClientHost 上的应用将数据发送到本机的 7001 端口上,
  • 而本机的 SSH Client 会将 7001 端口收到的数据加密并转发到 LdapServertHost 的 SSH Server 上。
  • SSH Server 会解密收到的数据并将之转发到监听的 LDAP 389 端口上,
  • 最后再将从 LDAP 返回的数据原路返回以完成整个流程。

3、远程端口转发

 我们在 LdapClientHost 上的应用将数据发送到本机的 7001 端口上,而本机的 SSH Server 会将 7001 端口收到的数据加密并转发到 LdapServertHost 的 SSH Client 上。

 

在 LDAP 服务器(LdapServertHost)端执行如下命令:

$ ssh -R 7001:localhost:389 LdapClientHost

 

区别:

SSH 端口转发自然需要 SSH 连接,而 SSH 连接是有方向的,从 SSH Client 到 SSH Server 。而我们的应用也是有方向的,比如需要连接 LDAP Server 时,LDAP Server 自然就是 Server 端,我们应用连接的方向也是从应用的 Client 端连接到应用的 Server 端。如果这两个连接的方向一致,那我们就说它是本地转发。而如果两个方向不一致,我们就说它是远程转发。

 

4、使用autossh防网络抖动+supervisior进程守护。

 

autossh解决的问题:远程端口转发一旦端口,很难再次建立。

 

autossh -M 1932 -NR  1922:localhost:1122 user@vps -p 1122

ps可以看到实质是这样的:

ssh -L 1932:127.0.0.1:1932 -R 1932:127.0.0.1:1933 -NR 1922:localhost:1122 -p 1122 user@vps

 

分析:使用回路,将本地1933端口,(远程转发)映射到远端1932,(本地转发)到本机的1932。形成回路。

 

supervisior解决的问题:autossh的进程守护

 因此,使用supervisior守护autossh,autossh守护ssh。达到自动启动和守护端口转发的目的。

 

 

5、综合使用

 

案例一、如何2222端口被封,如果绕过封死2222端口的防火墙直接ssh到内网机器。(就是说限某几个端口是有局限的)

1、登录最重要的机器把2222端口映射到12222端口:

  ssh -gfNL 12222:0.0.0.0:2222 localhost -p2222

2、使用该机器做隧道代理访问其他内网机器:

  ssh -NfD 10000 user@host -p12222

3、ssh绕道访问其他内网机器:

  ssh -o "ProxyCommand=nc -x localhost:10000 %h %p" user@host -p2222

 

巧妙结合的ssh和nc,都是linux自带工具,没有依赖。

 

案例二、借助远程vps让两台不能直接相通的机器相互能访问。

有主机vps和主机A、B。A、B无法直连,通过“中介”搭桥相连。(两台机器都能主动ssh到vps就能完成。)

A要ssh到B(B要ssh到A是同理):

1、主机B用ssh远程转发自己的2222端口到vps的127.0.0.1:12222

  ssh -NfR 12222:127.0.0.1:2222 user@vps -p2222

2、主机A用ssh本地转发vps的127.0.0.1:12222到本地的127.0.0.1:12222

  ssh -NfL 12222:127.0.0.1:12222 user@vps -p2222

3、主机A登录主机B

  ssh user@localhost -p12222

 

 

参考:

实战 SSH 端口转发

https://www.ibm.com/developerworks/cn/linux/l-cn-sshforward/

使用supervisor托管shadowsocks

https://blog.phpgao.com/supervisor_shadowsocks.html

SSH反向连接及Autossh

http://www.cnblogs.com/eshizhan/archive/2012/07/16/2592902.html

 

 

 

 

     

Recommend:SSH隧道与端口转发及内网穿透

转载: 端口映射    大家都知道SSH是一种安全的传输协议,用在连接服务器上比较多。不过其实除了这个功能,它的隧道转发功能更是吸引人。下面是个人根据自己的需求以及在网上查找的资料配合自己的实际操作所得到的一些心得。     SSH/plin

Recommend:SSH端口转发

一、概述 你在咖啡馆享受免费 WiFi 的时候,是不是担心可能有人正在窃取你的密码及隐私?当你发现这个咖啡馆竟然限制访问某些网站,这时候SSH端口转发功能也许能帮上你的忙。 首先我们知道,SSH 会自动加密和解密所有 SSH 客户端与服务端

Your Answer
(Ctrl+Enter To Post)   
    Copyright © 2015-2017 163JAVA.COM All Rights Reserved.