SSH的端口转发功能
SSH的端口转发功能非常强大好用。
可是官方对SSH端口转发功能的说明文档都非常晦涩,对一个新手非常难理解。本文以一个例子来试图说明这些概念。
SSH的端口转发包括,本地端口转发和远程端口转发两部分。
1. 本地端口转发
在本地(运行命令的机器上)起一个监听端口,把所有对该本地端口的访问转发到服务器。命令行格式为:
$ ssh -L <local-port-to-listen>:<remote-host>:<remote-port> <sshserver>
命令行中的几个概念:
- <local-port-to-listen> 本地端口,也就是命令运行的机器的端口。
- <remote-host>:<remote-port> 目标机器和端口,是真正提供服务的端口。
- <sshserver> ssh服务器,是提供端口转发功能的服务器。
这个命令的功能就是把"本地机器:<local-port-to-listen>"映射到"<remote-host>:<remote-port>",这个功能通过sshserver实现。
本地端口转发通常执行在防火墙外的机器上,用来给防火墙外的其他机器访问防火墙内的资源:
下面以上图的一个例子来说明:
- 假设有一个服务器在端口8080提供web服务:webserver:8080。
- 这台服务器在防火墙内,不允许外面的随意访问。
- 而有一台代理机器proxyserver,可以绕过防火墙,访问webserver机器。
- 这台代理服务器,能提供给用户访问。
这种场景下,我们就可以使用SSH的端口转发功能,使得用户访问proxyserver的方式来访问webserver:
在proxyserver机器上执行下面的命令:
$ ssh -L 30000:webserver:8080 user@sshserver
这个命令会执行下面的功能:
-
- 在proxyserver上的ssh客户端会建立一个加密连接到sshserver服务器。
- 1.1. sshserver服务器提供的服务缺省监听端口是22
- 1.2. proxyserver和sshserver肯定不能是同一台机器,否则就没必要建立SSH通道了。
- 1.3. sshserver和webserver可以是同一台机器,也可以不同;如果是不同那么必须保证他们之间的互通性,如果相同,webserver的地址可以使用localhost,例如:
$ ssh -L 30000:localhost:8080 user@webserver
- proxyserver开启监听端口30000
- 在sshserver机器上,会建立一个到webserver端口8080的连接。
- 至此通过proxyserver和sshserver之间建立的SSH隧道,所有向sshserver端口30000的请求都将被转发到webserver的端口8080,以此用户通过访问 http://proxyserver:30000来访问http://webserver:8080的目的。
端口转发就完成了,总结一下就是完成下面的流程:
clients <----> proxyserver <--firewall--> sshserver <----> webserver
远程端口转发
和本地端口转发的区别是:
- 本地端口转发,起一个监听端口在本地(执行命令的机器);然后转发所有向这个新起本地端口的请求, 到 sshserver,再到目标机器。
- 远程端口转发,起一个监听端口在远程(sshserver机器);然后转发所有向这个新起远程端口的请求,到本地机器(执行命令的机器),再到目标机器。
远程端口转发的命令行格式和本地端口转发一样:
$ ssh -R <local-port-to-listen>:<remote-host>:<remote-port> <sshserver>
所不同的是端口<local-port-to-listen>是起在sshserver上,而不是在运行命令的proxyserver机器上。然后把所有对<sshserver>:<local-port-to-listen>的请求都转发到<remote-host>:<remote-port>上去。
远程端口转发通常执行在防火墙内的机器上,用来给防火墙外的其他机器访问防火墙内的资源。
还是以上面的背景为例子:
在proxyserveer机器上执行下面的命令:
$ ssh -R 30000:webserver:8080 user@sshserver
这个命令会执行下面的功能:
-
- 在本地proxyserver上的ssh客户端建立一个加密连接到ssh服务器
- 1.1 sshserver (缺省监听在22端口)
- 1.2. proxyserver和webserver可以是同一台机器,也可以不同;如果是不同那么必须保证他们之间的互通性,如果相同,webserver的地址可以使用localhost,例如:
$ ssh -R 30000:localhost:8080 user@sshserver
- 在sshserver开启监听端口30000
- 在proxyserver机器上,建立一个连接到webserver上。
- 至此通过proxyserver和sshserver之间建立的SSH隧道,所有向sshserver端口30000的请求都将被转发到webserver的端口8080,以此用户通过访问 http://sshserver:30000来访问http://webserver:8080的目的。
端口转发就完成了,总结一下就是完成下面的流程:
webserver <----> proxyserver <--firewall--> sshserver <----> clients
注意
命令行参数中
-L|R <local-port-to-listen>:<remote-host>:<remote-port>
- <local-port-to-listen>
都叫本地端口,其实针对本地转发和远程转发是在不同的机器上:
- 如果是本地转发,那么端口起在执行命令的机器上。
- 如果是远程转发,那么端口其在sshserver的机器上。
2 <remote-host>==localhost
当<remote-host>==localhost时,虽然都叫localhost,其实针对本地转发和远程转发是指不同的机器:
- 如果是本地转发,那么localhost指的是sshserver机器,也就是例子中sshserver和webserver是同一台机器的场景。
- 如果是远程转发,那么localhost指的是执行命令的机器,也就是例子中proxyserver和webserver是同一台机器的场景。
