SSH端口轉(zhuǎn)發(fā),本地端口轉(zhuǎn)發(fā),遠程端口轉(zhuǎn)發(fā),動態(tài)端口轉(zhuǎn)發(fā)詳解

第一部分 SSH端口轉(zhuǎn)發(fā)概述

當你在咖啡館享受免費 WiFi 的時候，有沒有想到可能有人正在竊取你的密碼及隱私信息？當你發(fā)現(xiàn)實驗室的防火墻阻止了你的網(wǎng)絡應用端口，是不是有苦難言？來看看 SSH 的端口轉(zhuǎn)發(fā)功能能給我們帶來什么好處吧！

SSH端口轉(zhuǎn)發(fā)概述

讓我們先來了解一下端口轉(zhuǎn)發(fā)的概念吧。我們知道，SSH 會自動加密和解密所有 SSH 客戶端與服務端之間的網(wǎng)絡數(shù)據(jù)。但是，SSH 還同時提供了一個非常有用的功能，這就是端口轉(zhuǎn)發(fā)。

它能夠?qū)⑵渌?TCP 端口的網(wǎng)絡數(shù)據(jù)通過 SSH 鏈接來轉(zhuǎn)發(fā)，并且自動提供了相應的加密及解密服務。這一過程有時也被叫做“隧道”（tunneling），這是因為 SSH 為其他 TCP 鏈接提供了一個安全的通道來進行傳輸而得名。

例如，Telnet，SMTP，LDAP 這些 TCP 應用均能夠從中得益，避免了用戶名，密碼以及隱私信息的明文傳輸。而與此同時，如果您工作環(huán)境中的防火墻限制了一些網(wǎng)絡端口的使用，但是允許 SSH 的連接，那么也是能夠通過將 TCP 端口轉(zhuǎn)發(fā)來使用 SSH 進行通訊。

總的來說 SSH 端口轉(zhuǎn)發(fā)能夠提供兩大功能：

加密 SSH Client 端至 SSH Server 端之間的通訊數(shù)據(jù)。

突破防火墻的限制完成一些之前無法建立的 TCP 連接。

圖 1. SSH 端口轉(zhuǎn)發(fā)

如上圖所示，使用了端口轉(zhuǎn)發(fā)之后，TCP 端口 A 與 B 之間現(xiàn)在并不直接通訊，而是轉(zhuǎn)發(fā)到了 SSH 客戶端及服務端來通訊，從而自動實現(xiàn)了數(shù)據(jù)加密并同時繞過了防火墻的限制。

第二部分 SSH本地端口轉(zhuǎn)發(fā)與遠程端口轉(zhuǎn)發(fā)

SSH本地端口轉(zhuǎn)發(fā)實例分析

我們先來看第一個例子，在實驗室里有一臺 LDAP 服務器（LdapServerHost），但是限制了只有本機上部署的應用才能直接連接此 LDAP 服務器。

如果我們由于調(diào)試或者測試的需要想臨時從遠程機器（LdapClientHost）直接連接到這個 LDAP 服務器 , 有什么方法能夠?qū)崿F(xiàn)呢？

答案無疑是本地端口轉(zhuǎn)發(fā)了，它的命令格式是：

ssh -L <local port>:<remote host>:<remote port> <SSH hostname>

在 LdapClientHost 上執(zhí)行如下命令即可建立一個 SSH 的本地端口轉(zhuǎn)發(fā)，例如：

$ ssh -L 7001:localhost:389 LdapServerHost


圖 2. 本地端口轉(zhuǎn)發(fā)

這里需要注意的是本例中我們選擇了 7001 端口作為本地的監(jiān)聽端口，在選擇端口號時要注意非管理員帳號是無權綁定 1-1023 端口的，所以一般是選用一個 1024-65535 之間的并且尚未使用的端口號即可。

然后我們可以將遠程機器（LdapClientHost）上的應用直接配置到本機的 7001 端口上（而不是 LDAP 服務器的 389 端口上）。之后的數(shù)據(jù)流將會是下面這個樣子：

我們在 LdapClientHost 上的應用將數(shù)據(jù)發(fā)送到本機的 7001 端口上，

而本機的 SSH Client 會將 7001 端口收到的數(shù)據(jù)加密并轉(zhuǎn)發(fā)到 LdapServertHost 的 SSH Server 上。

SSH Server 會解密收到的數(shù)據(jù)并將之轉(zhuǎn)發(fā)到監(jiān)聽的 LDAP 389 端口上，

最后再將從 LDAP 返回的數(shù)據(jù)原路返回以完成整個流程。

我們可以看到，這整個流程應用并沒有直接連接 LDAP 服務器，而是連接到了本地的一個監(jiān)聽端口，但是 SSH 端口轉(zhuǎn)發(fā)完成了

剩下的所有事情，加密，轉(zhuǎn)發(fā)，解密，通訊。

這里有幾個地方需要注意：

SSH 端口轉(zhuǎn)發(fā)是通過 SSH 連接建立起來的，我們必須保持這個 SSH 連接以使端口轉(zhuǎn)發(fā)保持生效。一旦關閉了此連接，相應的端口轉(zhuǎn)發(fā)也會隨之關閉。

我們只能在建立 SSH 連接的同時創(chuàng)建端口轉(zhuǎn)發(fā)，而不能給一個已經(jīng)存在的 SSH 連接增加端口轉(zhuǎn)發(fā)。

你可能會疑惑上面命令中的 <remote host> 為什么用 localhost，它指向的是哪臺機器呢？在本例中，它指向 LdapServertHost 。我們?yōu)槭裁从?localhost 而不是 IP 地址或者主機名呢？

其實這個取決于我們之前是如何限制 LDAP 只有本機才能訪問。

如果只允許 lookback 接口訪問的話，那么自然就只有 localhost 或者 IP 為 127.0.0.1 才能訪問了，而不能用真實 IP 或者主機名。

命令中的 <remote host> 和 <SSH hostname> 必須是同一臺機器么？其實是不一定的，它們可以是兩臺不同的機器。我們在后面的例子里會詳細闡述這點。

好了，我們已經(jīng)在 LdapClientHost 建立了端口轉(zhuǎn)發(fā)，那么這個端口轉(zhuǎn)發(fā)可以被其他機器使用么？比如能否新增加一臺 LdapClientHost2 來直接連接 LdapClientHost 的 7001 端口？

答案是不行的，在主流 SSH 實現(xiàn)中，本地端口轉(zhuǎn)發(fā)綁定的是 lookback 接口，這意味著只有 localhost 或者 127.0.0.1 才能使用本機的端口轉(zhuǎn)發(fā)

其他機器發(fā)起的連接只會得到“ connection refused. ”。

好在 SSH 同時提供了 GatewayPorts 關鍵字，我們可以通過指定它與其他機器共享這個本地端口轉(zhuǎn)發(fā)。

ssh -g -L <local port>:<remote host>:<remote port> <SSH hostname>


SSH遠程端口轉(zhuǎn)發(fā)實例分析

我們來看第二個例子，這次假設由于網(wǎng)絡或防火墻的原因我們不能用 SSH 直接從 LdapClientHost 連接到 LDAP 服務器（LdapServertHost），但是反向連接卻是被允許的。那此時我們的選擇自然就是遠程端口轉(zhuǎn)發(fā)了。

它的命令格式是：

ssh -R <local port>:<remote host>:<remote port> <SSH hostname>


例如在 LDAP 服務器（LdapServertHost）端執(zhí)行如下命令：

$ ssh -R 7001:localhost:389 LdapClientHost


圖 3. 遠程端口轉(zhuǎn)發(fā)

和本地端口轉(zhuǎn)發(fā)相比，這次的圖里，SSH Server 和 SSH Client 的位置對調(diào)了一下，但是數(shù)據(jù)流依然是一樣的。

我們在 LdapClientHost 上的應用將數(shù)據(jù)發(fā)送到本機的 7001 端口上，而本機的 SSH Server 會將 7001 端口收到的數(shù)據(jù)加密并轉(zhuǎn)發(fā)到 LdapServertHost 的 SSH Client 上。

SSH Client 會解密收到的數(shù)據(jù)并將之轉(zhuǎn)發(fā)到監(jiān)聽的 LDAP 389 端口上，最后再將從 LDAP 返回的數(shù)據(jù)原路返回以完成整個流程。

看到這里，你是不是會有點糊涂了么？為什么叫本地轉(zhuǎn)發(fā)，而有時又叫遠程轉(zhuǎn)發(fā)？這兩者有什么區(qū)別？

本SSH地端口轉(zhuǎn)發(fā)與SSH遠程端口轉(zhuǎn)發(fā)的對比與分析

不錯，SSH Server，SSH Client，LdapServertHost，LdapClientHost，本地端口轉(zhuǎn)發(fā)，遠程端口轉(zhuǎn)發(fā)，

這么多的名詞的確容易讓人糊涂。

讓我們來分析一下其中的結(jié)構(gòu)吧。

首先，SSH 端口轉(zhuǎn)發(fā)自然需要 SSH 連接，而 SSH 連接是有方向的，從 SSH Client 到 SSH Server 。

而我們的應用也是有方向的，比如需要連接 LDAP Server 時，LDAP Server 自然就是 Server 端，我們應用連接的方向也是從應用的 Client 端連接到應用的 Server 端。

如果這兩個連接的方向一致，那我們就說它是本地轉(zhuǎn)發(fā)。而如果兩個方向不一致，我們就說它是遠程端口轉(zhuǎn)發(fā)。

我們可以回憶上面的兩個例子來做個對照。

本地端口轉(zhuǎn)發(fā)時：

LdapClientHost 同時是應用的客戶端，也是 SSH Client，這兩個連接都從它指向 LdapServertHost（既是 LDAP 服務端，也是 SSH Server）。

遠程端口轉(zhuǎn)發(fā)時：

LdapClientHost 是應用的客戶端，但卻是 SSH Server ；而 LdapServertHost 是 LDAP 的服務端，但卻是 SSH Client 。這樣兩個連接的方向剛好相反。

另一個方便記憶的方法是

Server 端的端口都是預定義的固定端口（SSH Server 的端口 22，LDAP 的端口 389），而 Client 端的端口都是動態(tài)可供我們選擇的端口（如上述例子中選用的 7001 端口）。

如果 Server 端的兩個端口都在同一臺機器，Client 端的兩個端口都在另一臺機器上，那么這就是本地端口連接；

如果這四個端口交叉分布在兩個機器上，每臺機器各有一個 Server 端端口，一個 Client 端端口，那就是遠程端口連接。

弄清楚了兩者的區(qū)別之后，再來看看兩者的相同之處。

如果你所在的環(huán)境下，既允許 LdapClientHost 發(fā)起 SSH 連接到 LdapServerHost，也允許 LdapServerHost 發(fā)起 SSH 連接到 LdapClientHost 。

那么這時我們選擇本地轉(zhuǎn)發(fā)或遠程轉(zhuǎn)發(fā)都是可以的，能完成一樣的功能。

接著讓我們來看個進階版的端口轉(zhuǎn)發(fā)。

我們之前涉及到的各種連接 / 轉(zhuǎn)發(fā)都只涉及到了兩臺機器，還記得我們在本地轉(zhuǎn)發(fā)中提到的一個問題么？

本地端口轉(zhuǎn)發(fā)命令中的 <remote host> 和 <SSH hostname> 可以是不同的機器么？

ssh -L <local port>:<remote host>:<remote port> <SSH hostname>

答案是可以的！讓我們來看一個涉及到四臺機器 (A,B,C,D) 的例子。

圖 4. 多主機轉(zhuǎn)發(fā)應用

在 SSH Client(C) 執(zhí)行下列命令來建立 SSH 連接以及端口轉(zhuǎn)發(fā)：

$ ssh -g -L 7001:<B>:389 <D>


然后在我們的應用客戶端（A）上配置連接機器（C ）的 7001 端口即可。

注意我們在命令中指定了“ -g ”參數(shù)以保證機器（A）能夠使用機器（C）建立的本地端口轉(zhuǎn)發(fā)。

而另一個值得注意的地方是，在上述連接中，（A）<-> (C) 以及 (B)<->(D) 之間的連接并不是安全連接，它們之間沒有經(jīng)過 SSH 的加密及解密。

如果他們之間的網(wǎng)絡并不是值得信賴的網(wǎng)絡連接，我們就需要謹慎使用這種連接方式了。

第三部分 其他類型的端口轉(zhuǎn)發(fā)

SSH動態(tài)端口轉(zhuǎn)發(fā)實例分析

恩，動態(tài)轉(zhuǎn)發(fā)，聽上去很酷。

當你看到這里時，有沒有想過我們已經(jīng)討論過了本地轉(zhuǎn)發(fā)，遠程轉(zhuǎn)發(fā)，但是前提都是要求有一個固定的應用服務端的端口號，

例如前面例子中的 LDAP 服務端的 389 端口。那如果沒有這個端口號怎么辦？等等，

什么樣的應用會沒有這個端口號呢？嗯，比如說用瀏覽器進行 Web 瀏覽，比如說 MSN 等等。

當我們在一個不安全的 WiFi 環(huán)境下上網(wǎng)，用 SSH 動態(tài)轉(zhuǎn)發(fā)來保護我們的網(wǎng)頁瀏覽及 MSN 信息無疑是十分必要的。讓我們先來看一下動態(tài)轉(zhuǎn)發(fā)的命令格式：

$ ssh -D <local port> <SSH Server>


例如：

$ ssh -D 7001 <SSH Server>


圖 5. 動態(tài)端口轉(zhuǎn)發(fā)

似乎很簡單，我們依然選擇了 7001 作為本地的端口號，其實在這里 SSH 是創(chuàng)建了一個 SOCKS 代理服務。來看看幫助文檔中對 -D 參數(shù)的描述：

-D port
 This works by allocating a socket to listen to port on the local
 side, and whenever a connection is made to this port, the con-
 nection is forwarded over the secure channel, and the applica-
 tion protocol is then used to determine where to connect to from
 the remote machine.  Currently the SOCKS4 and SOCKS5 protocols
 are supported, and ssh will act as a SOCKS server.  Only root
 can forward privileged ports.  Dynamic port forwardings can also
 be specified in the configuration file.

之后的使用就簡單了，我們可以直接使用 localhost:7001 來作為正常的 SOCKS 代理來使用，直接在瀏覽器或 MSN 上設置即可。

在 SSH Client 端無法訪問的網(wǎng)站現(xiàn)在也都可以正常瀏覽。而這里需要值得注意的是，此時 SSH 所包護的范圍只包括從瀏覽器端（SSH Client 端）到 SSH Server 端的連接，并不包含從 SSH Server 端 到目標網(wǎng)站的連接。

如果后半截連接的安全不能得到充分的保證的話，這種方式仍不是合適的解決方案。

X 協(xié)議端口轉(zhuǎn)發(fā)實例分析

好了，讓我們來看最后一個例子 - X 協(xié)議轉(zhuǎn)發(fā)。

我們?nèi)粘９ぷ鳟斨校赡軙?jīng)常會遠程登錄到 Linux/Unix/Solaris/HP 等機器上去做一些開發(fā)或者維護，也經(jīng)常需要以 GUI 方式運行一些程序，比如要求圖形化界面來安裝 DB2/WebSphere 等等。

這時候通常有兩種選擇來實現(xiàn)：VNC 或者 X 窗口，讓我們來看看后者。

使用 X 窗口通常需要分別安裝：X Client 和 X Server 。

在本例中我們的 X Client 就是所訪問的遠程 Linux/Unix/Solaris/HP，而我們的 X Server 則是發(fā)起訪問的本地機器（例如你面前正在使用的筆記本或臺式機）。

把 X Client 端的 X 窗口顯示在 X Server 端需要先行在 X Client 端指定 X Server 的位置，命令格式如下：

export DISPLAY=<X Server IP>:<display #>.<virtual #>


例如：

export DISPLAY=myDesktop:1.0


然后直接運行 X 應用即可，X 窗口就會自動在我們的本地端打開。

一切運行正常，但是，這時候 IT 部門突然在遠程 Linux/Unix/Solaris/HP 前面加了一道防火墻。

非常不幸的是，X 協(xié)議并不在允許通過的列表之內(nèi)。怎么辦？只能使用 VNC 了么？不，其實只要使用了 SSH 端口轉(zhuǎn)發(fā)即可通過，同時也對 X 通訊數(shù)據(jù)做了加密，真是一舉兩得。

（當然，使用此方法前最好先咨詢相關 IT 部門是否符合相應的安全條例，以免造成違規(guī)操作。）

建立命令也很簡單，直接從本地機器（X Server 端）發(fā)起一個如下的 SSH 連接即可：

$ ssh -X <SSH Server>


圖 5. X 轉(zhuǎn)發(fā)

建立連接之后就可以直接運行遠程的 X 應用。注意建立 X 轉(zhuǎn)發(fā)之后會自動設置 DISPLAY 環(huán)境變量，通常會被設置成localhost:10.0，我們無需也不應該在連接之后再進行修改此環(huán)境變量。

一個比較常見的場景是，我們的本地機器是 Windows 操作系統(tǒng)，這時可以選擇開源的 XMing 來作為我們的 XServer，而 SSH Client 則可以任意選擇了，例如 PuTTY，Cygwin 均可以配置 訪問 SSH 的同時建立 X 轉(zhuǎn)發(fā)。

第四部分 SSH端口轉(zhuǎn)發(fā)總結(jié)

至此，我們已經(jīng)完成了本地端口轉(zhuǎn)發(fā)，遠程端口轉(zhuǎn)發(fā)，動態(tài)端口轉(zhuǎn)發(fā)以及 X 轉(zhuǎn)發(fā)的介紹。

回顧起來，總的思路是通過將 TCP 連接轉(zhuǎn)發(fā)到 SSH 通道上以解決數(shù)據(jù)加密以及突破防火墻的種種限制。

對一些已知端口號的應用，例如 Telnet/LDAP/SMTP，我們可以使用本地端口轉(zhuǎn)發(fā)或者遠程端口轉(zhuǎn)發(fā)來達到目的。

動態(tài)端口轉(zhuǎn)發(fā)則可以實現(xiàn) SOCKS 代理從而加密以及突破防火墻對 Web 瀏覽的限制。

對于 X 應用，無疑是 X 轉(zhuǎn)發(fā)最為適用了。雖然每一部分我們都只是簡單的介紹了一下，

但如果能靈活應用這些技巧，相信對我們的日常生活 / 工作也是會有所幫助的。

更多關于SSH端口轉(zhuǎn)發(fā)的文章請點擊下面的相關文章