第一部分 SSH端口轉(zhuǎn)發(fā)概述
創(chuàng)新互聯(lián)是一家業(yè)務(wù)范圍包括IDC托管業(yè)務(wù),虛擬空間�、主機(jī)租用����、主機(jī)托管,四川����、重慶、廣東電信服務(wù)器租用,遂寧聯(lián)通機(jī)房��,成都網(wǎng)通服務(wù)器托管,成都服務(wù)器租用,業(yè)務(wù)范圍遍及中國大陸�、港澳臺以及歐美等多個國家及地區(qū)的互聯(lián)網(wǎng)數(shù)據(jù)服務(wù)公司。
當(dāng)你在咖啡館享受免費 WiFi 的時候����,有沒有想到可能有人正在竊取你的密碼及隱私信息?當(dāng)你發(fā)現(xiàn)實驗室的防火墻阻止了你的網(wǎng)絡(luò)應(yīng)用端口����,是不是有苦難言?來看看 SSH 的端口轉(zhuǎn)發(fā)功能能給我們帶來什么好處吧�!
SSH端口轉(zhuǎn)發(fā)概述
讓我們先來了解一下端口轉(zhuǎn)發(fā)的概念吧。我們知道�,SSH 會自動加密和解密所有 SSH 客戶端與服務(wù)端之間的網(wǎng)絡(luò)數(shù)據(jù)�。但是��,SSH 還同時提供了一個非常有用的功能���,這就是端口轉(zhuǎn)發(fā)�。
它能夠?qū)⑵渌?TCP 端口的網(wǎng)絡(luò)數(shù)據(jù)通過 SSH 鏈接來轉(zhuǎn)發(fā)�����,并且自動提供了相應(yīng)的加密及解密服務(wù)�����。這一過程有時也被叫做“隧道”(tunneling)����,這是因為 SSH 為其他 TCP 鏈接提供了一個安全的通道來進(jìn)行傳輸而得名。
例如�����,Telnet�,SMTP�����,LDAP 這些 TCP 應(yīng)用均能夠從中得益,避免了用戶名�,密碼以及隱私信息的明文傳輸。而與此同時���,如果您工作環(huán)境中的防火墻限制了一些網(wǎng)絡(luò)端口的使用����,但是允許 SSH 的連接�����,那么也是能夠通過將 TCP 端口轉(zhuǎn)發(fā)來使用 SSH 進(jìn)行通訊��。
總的來說 SSH 端口轉(zhuǎn)發(fā)能夠提供兩大功能:
加密 SSH Client 端至 SSH Server 端之間的通訊數(shù)據(jù)�����。
突破防火墻的限制完成一些之前無法建立的 TCP 連接����。
圖 1. SSH 端口轉(zhuǎn)發(fā)
如上圖所示,使用了端口轉(zhuǎn)發(fā)之后,TCP 端口 A 與 B 之間現(xiàn)在并不直接通訊����,而是轉(zhuǎn)發(fā)到了 SSH 客戶端及服務(wù)端來通訊,從而自動實現(xiàn)了數(shù)據(jù)加密并同時繞過了防火墻的限制���。
第二部分 SSH本地端口轉(zhuǎn)發(fā)與遠(yuǎn)程端口轉(zhuǎn)發(fā)
SSH本地端口轉(zhuǎn)發(fā)實例分析
我們先來看第一個例子��,在實驗室里有一臺 LDAP 服務(wù)器(LdapServerHost)����,但是限制了只有本機(jī)上部署的應(yīng)用才能直接連接此 LDAP 服務(wù)器��。
如果我們由于調(diào)試或者測試的需要想臨時從遠(yuǎn)程機(jī)器(LdapClientHost)直接連接到這個 LDAP 服務(wù)器 , 有什么方法能夠?qū)崿F(xiàn)呢����?
答案無疑是本地端口轉(zhuǎn)發(fā)了,它的命令格式是:
ssh -L ::
在 LdapClientHost 上執(zhí)行如下命令即可建立一個 SSH 的本地端口轉(zhuǎn)發(fā)�����,例如:
$ ssh -L 7001:localhost:389 LdapServerHost
圖 2. 本地端口轉(zhuǎn)發(fā)
這里需要注意的是本例中我們選擇了 7001 端口作為本地的監(jiān)聽端口�,在選擇端口號時要注意非管理員帳號是無權(quán)綁定 1-1023 端口的,所以一般是選用一個 1024-65535 之間的并且尚未使用的端口號即可��。
然后我們可以將遠(yuǎn)程機(jī)器(LdapClientHost)上的應(yīng)用直接配置到本機(jī)的 7001 端口上(而不是 LDAP 服務(wù)器的 389 端口上)。之后的數(shù)據(jù)流將會是下面這個樣子:
我們在 LdapClientHost 上的應(yīng)用將數(shù)據(jù)發(fā)送到本機(jī)的 7001 端口上��,
而本機(jī)的 SSH Client 會將 7001 端口收到的數(shù)據(jù)加密并轉(zhuǎn)發(fā)到 LdapServertHost 的 SSH Server 上�����。
SSH Server 會解密收到的數(shù)據(jù)并將之轉(zhuǎn)發(fā)到監(jiān)聽的 LDAP 389 端口上����,
最后再將從 LDAP 返回的數(shù)據(jù)原路返回以完成整個流程����。
我們可以看到,這整個流程應(yīng)用并沒有直接連接 LDAP 服務(wù)器�����,而是連接到了本地的一個監(jiān)聽端口��,但是 SSH 端口轉(zhuǎn)發(fā)完成了
剩下的所有事情����,加密,轉(zhuǎn)發(fā)���,解密�����,通訊���。
這里有幾個地方需要注意:
SSH 端口轉(zhuǎn)發(fā)是通過 SSH 連接建立起來的�,我們必須保持這個 SSH 連接以使端口轉(zhuǎn)發(fā)保持生效����。一旦關(guān)閉了此連接,相應(yīng)的端口轉(zhuǎn)發(fā)也會隨之關(guān)閉�����。
我們只能在建立 SSH 連接的同時創(chuàng)建端口轉(zhuǎn)發(fā)����,而不能給一個已經(jīng)存在的 SSH 連接增加端口轉(zhuǎn)發(fā)。
你可能會疑惑上面命令中的
其實這個取決于我們之前是如何限制 LDAP 只有本機(jī)才能訪問�。
如果只允許 lookback 接口訪問的話���,那么自然就只有 localhost 或者 IP 為 127.0.0.1 才能訪問了�����,而不能用真實 IP 或者主機(jī)名����。
命令中的
好了���,我們已經(jīng)在 LdapClientHost 建立了端口轉(zhuǎn)發(fā)��,那么這個端口轉(zhuǎn)發(fā)可以被其他機(jī)器使用么����?比如能否新增加一臺 LdapClientHost2 來直接連接 LdapClientHost 的 7001 端口����?
答案是不行的,在主流 SSH 實現(xiàn)中���,本地端口轉(zhuǎn)發(fā)綁定的是 lookback 接口�,這意味著只有 localhost 或者 127.0.0.1 才能使用本機(jī)的端口轉(zhuǎn)發(fā)
其他機(jī)器發(fā)起的連接只會得到“ connection refused. ”���。
好在 SSH 同時提供了 GatewayPorts 關(guān)鍵字����,我們可以通過指定它與其他機(jī)器共享這個本地端口轉(zhuǎn)發(fā)。
ssh -g -L ::
SSH遠(yuǎn)程端口轉(zhuǎn)發(fā)實例分析
我們來看第二個例子��,這次假設(shè)由于網(wǎng)絡(luò)或防火墻的原因我們不能用 SSH 直接從 LdapClientHost 連接到 LDAP 服務(wù)器(LdapServertHost)�,但是反向連接卻是被允許的。那此時我們的選擇自然就是遠(yuǎn)程端口轉(zhuǎn)發(fā)了���。
它的命令格式是:
ssh -R ::
例如在 LDAP 服務(wù)器(LdapServertHost)端執(zhí)行如下命令:
$ ssh -R 7001:localhost:389 LdapClientHost
圖 3. 遠(yuǎn)程端口轉(zhuǎn)發(fā)
和本地端口轉(zhuǎn)發(fā)相比��,這次的圖里,SSH Server 和 SSH Client 的位置對調(diào)了一下��,但是數(shù)據(jù)流依然是一樣的����。
我們在 LdapClientHost 上的應(yīng)用將數(shù)據(jù)發(fā)送到本機(jī)的 7001 端口上,而本機(jī)的 SSH Server 會將 7001 端口收到的數(shù)據(jù)加密并轉(zhuǎn)發(fā)到 LdapServertHost 的 SSH Client 上�。
SSH Client 會解密收到的數(shù)據(jù)并將之轉(zhuǎn)發(fā)到監(jiān)聽的 LDAP 389 端口上,最后再將從 LDAP 返回的數(shù)據(jù)原路返回以完成整個流程���。
看到這里����,你是不是會有點糊涂了么�?為什么叫本地轉(zhuǎn)發(fā)��,而有時又叫遠(yuǎn)程轉(zhuǎn)發(fā)�����?這兩者有什么區(qū)別��?
本SSH地端口轉(zhuǎn)發(fā)與SSH遠(yuǎn)程端口轉(zhuǎn)發(fā)的對比與分析
不錯���,SSH Server,SSH Client�,LdapServertHost,LdapClientHost���,本地端口轉(zhuǎn)發(fā)���,遠(yuǎn)程端口轉(zhuǎn)發(fā),
這么多的名詞的確容易讓人糊涂����。
讓我們來分析一下其中的結(jié)構(gòu)吧。
首先�����,SSH 端口轉(zhuǎn)發(fā)自然需要 SSH 連接,而 SSH 連接是有方向的�����,從 SSH Client 到 SSH Server ����。
而我們的應(yīng)用也是有方向的,比如需要連接 LDAP Server 時��,LDAP Server 自然就是 Server 端���,我們應(yīng)用連接的方向也是從應(yīng)用的 Client 端連接到應(yīng)用的 Server 端。
如果這兩個連接的方向一致�,那我們就說它是本地轉(zhuǎn)發(fā)。而如果兩個方向不一致��,我們就說它是遠(yuǎn)程端口轉(zhuǎn)發(fā)�����。
我們可以回憶上面的兩個例子來做個對照����。
本地端口轉(zhuǎn)發(fā)時:
LdapClientHost 同時是應(yīng)用的客戶端�����,也是 SSH Client���,這兩個連接都從它指向 LdapServertHost(既是 LDAP 服務(wù)端,也是 SSH Server)��。
遠(yuǎn)程端口轉(zhuǎn)發(fā)時:
LdapClientHost 是應(yīng)用的客戶端�����,但卻是 SSH Server �;而 LdapServertHost 是 LDAP 的服務(wù)端,但卻是 SSH Client ����。這樣兩個連接的方向剛好相反。
另一個方便記憶的方法是
Server 端的端口都是預(yù)定義的固定端口(SSH Server 的端口 22��,LDAP 的端口 389)����,而 Client 端的端口都是動態(tài)可供我們選擇的端口(如上述例子中選用的 7001 端口)。
如果 Server 端的兩個端口都在同一臺機(jī)器,Client 端的兩個端口都在另一臺機(jī)器上���,那么這就是本地端口連接����;
如果這四個端口交叉分布在兩個機(jī)器上�,每臺機(jī)器各有一個 Server 端端口,一個 Client 端端口���,那就是遠(yuǎn)程端口連接���。
弄清楚了兩者的區(qū)別之后,再來看看兩者的相同之處����。
如果你所在的環(huán)境下,既允許 LdapClientHost 發(fā)起 SSH 連接到 LdapServerHost����,也允許 LdapServerHost 發(fā)起 SSH 連接到 LdapClientHost �。
那么這時我們選擇本地轉(zhuǎn)發(fā)或遠(yuǎn)程轉(zhuǎn)發(fā)都是可以的,能完成一樣的功能����。
接著讓我們來看個進(jìn)階版的端口轉(zhuǎn)發(fā)����。
我們之前涉及到的各種連接 / 轉(zhuǎn)發(fā)都只涉及到了兩臺機(jī)器�����,還記得我們在本地轉(zhuǎn)發(fā)中提到的一個問題么��?
本地端口轉(zhuǎn)發(fā)命令中的
ssh -L ::
答案是可以的!讓我們來看一個涉及到四臺機(jī)器 (A,B,C,D) 的例子����。
圖 4. 多主機(jī)轉(zhuǎn)發(fā)應(yīng)用
在 SSH Client(C) 執(zhí)行下列命令來建立 SSH 連接以及端口轉(zhuǎn)發(fā):
$ ssh -g -L 7001::389
然后在我們的應(yīng)用客戶端(A)上配置連接機(jī)器(C )的 7001 端口即可。
注意我們在命令中指定了“ -g ”參數(shù)以保證機(jī)器(A)能夠使用機(jī)器(C)建立的本地端口轉(zhuǎn)發(fā)�。
而另一個值得注意的地方是,在上述連接中���,(A)<-> (C) 以及 (B)<->(D) 之間的連接并不是安全連接�����,它們之間沒有經(jīng)過 SSH 的加密及解密�����。
如果他們之間的網(wǎng)絡(luò)并不是值得信賴的網(wǎng)絡(luò)連接��,我們就需要謹(jǐn)慎使用這種連接方式了���。
第三部分 其他類型的端口轉(zhuǎn)發(fā)
SSH動態(tài)端口轉(zhuǎn)發(fā)實例分析
恩����,動態(tài)轉(zhuǎn)發(fā)��,聽上去很酷����。
當(dāng)你看到這里時,有沒有想過我們已經(jīng)討論過了本地轉(zhuǎn)發(fā)���,遠(yuǎn)程轉(zhuǎn)發(fā)��,但是前提都是要求有一個固定的應(yīng)用服務(wù)端的端口號����,
例如前面例子中的 LDAP 服務(wù)端的 389 端口��。那如果沒有這個端口號怎么辦��?等等����,
什么樣的應(yīng)用會沒有這個端口號呢?嗯�����,比如說用瀏覽器進(jìn)行 Web 瀏覽�����,比如說 MSN 等等�����。
當(dāng)我們在一個不安全的 WiFi 環(huán)境下上網(wǎng)��,用 SSH 動態(tài)轉(zhuǎn)發(fā)來保護(hù)我們的網(wǎng)頁瀏覽及 MSN 信息無疑是十分必要的�����。讓我們先來看一下動態(tài)轉(zhuǎn)發(fā)的命令格式:
$ ssh -D
例如:
$ ssh -D 7001
圖 5. 動態(tài)端口轉(zhuǎn)發(fā)
似乎很簡單,我們依然選擇了 7001 作為本地的端口號��,其實在這里 SSH 是創(chuàng)建了一個 SOCKS 代理服務(wù)�。來看看幫助文檔中對 -D 參數(shù)的描述:
-D port
This works by allocating a socket to listen to port on the local
side, and whenever a connection is made to this port, the con-
nection is forwarded over the secure channel, and the applica-
tion protocol is then used to determine where to connect to from
the remote machine. Currently the SOCKS4 and SOCKS5 protocols
are supported, and ssh will act as a SOCKS server. Only root
can forward privileged ports. Dynamic port forwardings can also
be specified in the configuration file.
之后的使用就簡單了,我們可以直接使用 localhost:7001 來作為正常的 SOCKS 代理來使用��,直接在瀏覽器或 MSN 上設(shè)置即可�。
在 SSH Client 端無法訪問的網(wǎng)站現(xiàn)在也都可以正常瀏覽。而這里需要值得注意的是��,此時 SSH 所包護(hù)的范圍只包括從瀏覽器端(SSH Client 端)到 SSH Server 端的連接����,并不包含從 SSH Server 端 到目標(biāo)網(wǎng)站的連接。
如果后半截連接的安全不能得到充分的保證的話���,這種方式仍不是合適的解決方案�。
X 協(xié)議端口轉(zhuǎn)發(fā)實例分析
好了�����,讓我們來看最后一個例子 - X 協(xié)議轉(zhuǎn)發(fā)�。
我們?nèi)粘9ぷ鳟?dāng)中,可能會經(jīng)常會遠(yuǎn)程登錄到 Linux/Unix/Solaris/HP 等機(jī)器上去做一些開發(fā)或者維護(hù)����,也經(jīng)常需要以 GUI 方式運行一些程序,比如要求圖形化界面來安裝 DB2/WebSphere 等等����。
這時候通常有兩種選擇來實現(xiàn):VNC 或者 X 窗口,讓我們來看看后者����。
使用 X 窗口通常需要分別安裝:X Client 和 X Server 。
在本例中我們的 X Client 就是所訪問的遠(yuǎn)程 Linux/Unix/Solaris/HP�����,而我們的 X Server 則是發(fā)起訪問的本地機(jī)器(例如你面前正在使用的筆記本或臺式機(jī))����。
把 X Client 端的 X 窗口顯示在 X Server 端需要先行在 X Client 端指定 X Server 的位置,命令格式如下:
export DISPLAY=:.
例如:
export DISPLAY=myDesktop:1.0
然后直接運行 X 應(yīng)用即可���,X 窗口就會自動在我們的本地端打開����。
一切運行正常��,但是,這時候 IT 部門突然在遠(yuǎn)程 Linux/Unix/Solaris/HP 前面加了一道防火墻�����。
非常不幸的是�����,X 協(xié)議并不在允許通過的列表之內(nèi)���。怎么辦��?只能使用 VNC 了么���?不,其實只要使用了 SSH 端口轉(zhuǎn)發(fā)即可通過����,同時也對 X 通訊數(shù)據(jù)做了加密,真是一舉兩得����。
(當(dāng)然,使用此方法前最好先咨詢相關(guān) IT 部門是否符合相應(yīng)的安全條例,以免造成違規(guī)操作�。)
建立命令也很簡單,直接從本地機(jī)器(X Server 端)發(fā)起一個如下的 SSH 連接即可:
$ ssh -X
圖 5. X 轉(zhuǎn)發(fā)
建立連接之后就可以直接運行遠(yuǎn)程的 X 應(yīng)用�。注意建立 X 轉(zhuǎn)發(fā)之后會自動設(shè)置 DISPLAY 環(huán)境變量,通常會被設(shè)置成localhost:10.0�,我們無需也不應(yīng)該在連接之后再進(jìn)行修改此環(huán)境變量。
一個比較常見的場景是����,我們的本地機(jī)器是 Windows 操作系統(tǒng)�,這時可以選擇開源的 XMing 來作為我們的 XServer,而 SSH Client 則可以任意選擇了�,例如 PuTTY,Cygwin 均可以配置 訪問 SSH 的同時建立 X 轉(zhuǎn)發(fā)�����。
第四部分 SSH端口轉(zhuǎn)發(fā)總結(jié)
至此��,我們已經(jīng)完成了本地端口轉(zhuǎn)發(fā)��,遠(yuǎn)程端口轉(zhuǎn)發(fā)��,動態(tài)端口轉(zhuǎn)發(fā)以及 X 轉(zhuǎn)發(fā)的介紹�。
回顧起來,總的思路是通過將 TCP 連接轉(zhuǎn)發(fā)到 SSH 通道上以解決數(shù)據(jù)加密以及突破防火墻的種種限制����。
對一些已知端口號的應(yīng)用�,例如 Telnet/LDAP/SMTP��,我們可以使用本地端口轉(zhuǎn)發(fā)或者遠(yuǎn)程端口轉(zhuǎn)發(fā)來達(dá)到目的����。
動態(tài)端口轉(zhuǎn)發(fā)則可以實現(xiàn) SOCKS 代理從而加密以及突破防火墻對 Web 瀏覽的限制。
對于 X 應(yīng)用��,無疑是 X 轉(zhuǎn)發(fā)最為適用了�����。雖然每一部分我們都只是簡單的介紹了一下�,
但如果能靈活應(yīng)用這些技巧,相信對我們的日常生活 / 工作也是會有所幫助的�。
更多關(guān)于SSH端口轉(zhuǎn)發(fā)的文章請點擊下面的相關(guān)文章
分享標(biāo)題:SSH端口轉(zhuǎn)發(fā),本地端口轉(zhuǎn)發(fā),遠(yuǎn)程端口轉(zhuǎn)發(fā),動態(tài)端口轉(zhuǎn)發(fā)詳解
文章出自:
http://weahome.cn/article/pgepoh.html
重慶分公司
重慶分公司
