?

?

?原文的原始出處不詳，本文也是在復(fù)制引用了某篇轉(zhuǎn)載，并做了必要的整理與編輯。

本文的受眾

如果你遇到了以下問(wèn)題，那么你應(yīng)該閱讀這篇文章

我聽(tīng)說(shuō)過(guò)這種技術(shù)，我對(duì)它很感興趣

我想在家里訪問(wèn)我在公司的機(jī)器（寫程序，查數(shù)據(jù)，下電影）。

公司為了防止我們用XX軟件封鎖了它的端口或者服務(wù)器地址。

公司不讓我們上XX網(wǎng)站，限制了網(wǎng)址甚至IP。

公司不讓我們看關(guān)于XX的信息，甚至花血本買了XX設(shè)備，能夠?qū)?nèi)容進(jìn)行過(guò)濾。一看XX內(nèi)容，鏈接就中斷了。

我爸是搞電腦的，他在家里的路由器上動(dòng)了手腳，我不能看XXX了。

帶著這些問(wèn)題，我們先從什么是ssh隧道開(kāi)始。

?

什么是SSH隧道

首 先看下面這張圖，我們所面臨的大部分情況都和它類似。我們的電腦在左上角，通過(guò)公司帶有防火墻功能的路由器接入互聯(lián)網(wǎng)（當(dāng)然可能還有交換機(jī)什么的在中間連 接著你和路由器，但是在我們的問(wèn)題中交換機(jī)并不起到什么關(guān)鍵性的作用）。左下腳的部分是一個(gè)網(wǎng)站的服務(wù)器，它是我們公司防火墻策略的一部分，也就是說(shuō)公司 不希望我們?cè)L問(wèn)這個(gè)服務(wù)器。在左上還有一臺(tái)機(jī)器，它也是屬于我們的。但是這臺(tái)機(jī)器并不在我們公司里面，換句話說(shuō)他不受到公司防火墻的限制。最后也是最重 要的一點(diǎn)是，我們能夠在公司通過(guò)互聯(lián)網(wǎng)直接訪問(wèn)這臺(tái)機(jī)器?；蛘哒f(shuō)這臺(tái)位于公司防火墻外面的機(jī)器需要擁有一個(gè)獨(dú)立的互聯(lián)網(wǎng)IP，同時(shí)公司的防火墻規(guī)則不會(huì)屏 蔽這臺(tái)機(jī)器，并且這臺(tái)機(jī)器運(yùn)行著一個(gè)OpenSSH服務(wù)器。

?

現(xiàn) 在，我們清楚地知道了自己所處的網(wǎng)絡(luò)環(huán)境。并且不難理解我們?cè)诠緹o(wú)法訪問(wèn)那個(gè)服務(wù)器的原因是：線路A-B-C上A-B之間的防火墻屏蔽了對(duì)那個(gè)服務(wù)器的 訪問(wèn)。與此同時(shí)，我們也很快注意到，線路A-B-D之間、D-C之間是不受阻礙的。相信你已經(jīng)想到了，在A-B之間的防火墻不會(huì)屏蔽對(duì)機(jī)器d的訪問(wèn)。因此 我們可以通過(guò)機(jī)器d建立一個(gè)通道A-B-D-C，從而訪問(wèn)到機(jī)器c上的數(shù)據(jù)。

這條通道可以用很多技術(shù)來(lái)建立，這里我們僅僅介紹如何使用SSH服務(wù)器來(lái)建立這樣一個(gè)通道－他被稱為SSH隧道。

?

一、如何建立本地SSH隧道

在我們計(jì)劃建立一個(gè)本地SSH隧道之前，我們必須清楚下面這些數(shù)據(jù)：

中間服務(wù)器d的IP地址

要訪問(wèn)服務(wù)器c的IP地址

要訪問(wèn)服務(wù)器c的端口

現(xiàn)在，我們把上面這張圖變得具體一些，給這些機(jī)器加上IP地址。并且根據(jù)下面這張圖列出我們的計(jì)劃：

?

需要訪問(wèn)234.234.234.234的FTP服務(wù)，也就是端口21

中間服務(wù)器是123.123.123.123

現(xiàn)在我們使用下面這條命令來(lái)達(dá)成我們的目的

?

ssh -N -f -L 2121:234.234.234.234:21 123.123.123.123 ftp localhost:2121 # 現(xiàn)在訪問(wèn)本地2121端口，就能連接234.234.234.234的21端口了

?

這里我們用到了SSH客戶端的三個(gè)參數(shù)，下面我們一一做出解釋：

• -N 告訴SSH客戶端，這個(gè)連接不需要執(zhí)行任何命令。僅僅做端口轉(zhuǎn)發(fā)
• -f 告訴SSH客戶端在后臺(tái)運(yùn)行
• -L 做本地映射端口，被冒號(hào)分割的三個(gè)部分含義分別是最后一個(gè)參數(shù)是我們用來(lái)建立隧道的中間機(jī)器的IP地址(IP: 123.123.123.123)
  • 需要使用的本地端口號(hào)
  • 需要訪問(wèn)的目標(biāo)機(jī)器IP地址（IP: 234.234.234.234）
  • 需要訪問(wèn)的目標(biāo)機(jī)器端口（端口: 21)

我們?cè)僦貜?fù)一下-L參數(shù)的行為。-L X:Y:Z的含義是，將IP為Y的機(jī)器的Z端口通過(guò)中間服務(wù)器映射到本地機(jī)器的X端口。

在這條命令成功執(zhí)行之后，我們已經(jīng)具有繞過(guò)公司防火墻的能力，并且成功訪問(wèn)到了我們喜歡的一個(gè)FTP服務(wù)器了。

?

二、如何建立遠(yuǎn)程SSH隧道

通 過(guò)建立本地SSH隧道，我們成功地繞過(guò)防火墻開(kāi)始下載FTP上的資源了。那么當(dāng)我們?cè)诩依锏臅r(shí)候想要察看下載進(jìn)度怎么辦呢？大多數(shù)公司的網(wǎng)絡(luò)是通過(guò)路由器 接入互聯(lián)網(wǎng)的，公司內(nèi)部的機(jī)器不會(huì)直接與互聯(lián)網(wǎng)連接，也就是不能通過(guò)互聯(lián)網(wǎng)直接訪問(wèn)。通過(guò)線路D-B-A訪問(wèn)公司里的機(jī)器a便是不可能的。也許你已經(jīng)注意 到了，雖然D-B-A這個(gè)方向的連接不通，但是A-B-D這個(gè)方向的連接是沒(méi)有問(wèn)題的。那么，我們能否利用一條已經(jīng)連接好的A-B-D方向的連接來(lái)完成 D-B-A方向的訪問(wèn)呢？答案是肯定的，這就是遠(yuǎn)程SSH隧道的用途。

與本地SSH一樣，我們?cè)诮⑦h(yuǎn)程SSH隧道之前要清楚下面幾個(gè)參數(shù)：

• 需要訪問(wèn)內(nèi)部機(jī)器的遠(yuǎn)程機(jī)器的IP地址（這里是123.123.123.123）
• 需要讓遠(yuǎn)程機(jī)器能訪問(wèn)的內(nèi)部機(jī)器的IP地址(這里因?yàn)槭窍氚驯緳C(jī)映射出去，因此IP是127.0.0.1)
• 需要讓遠(yuǎn)程機(jī)器能訪問(wèn)的內(nèi)部機(jī)器的端口號(hào)(端口:22)

在清楚了上面的參數(shù)后，我們使用下面的命令來(lái)建立一個(gè)遠(yuǎn)程SSH隧道，在192.168.0.100的主機(jī)上執(zhí)行下面的命令：

ssh -Nf -R 2222:127.0.0.1:22 123.123.123.123

?

現(xiàn)在，在IP是123.123.123.123的機(jī)器上我們用下面的命令就可以登陸公司的IP是192.168.0.100的機(jī)器了。

ssh -p 2222 localhost

?

-N，-f 這兩個(gè)參數(shù)我們已經(jīng)在本地SSH隧道中介紹過(guò)了。我們現(xiàn)在重點(diǎn)說(shuō)說(shuō)參數(shù)-R。該參數(shù)的三個(gè)部分的含義分別是:

• 遠(yuǎn)程機(jī)器使用的端口（2222）
• 需要映射的內(nèi)部機(jī)器的IP地址(127.0.0.1)
• 需要映射的內(nèi)部機(jī)器的端口(22)

例如：-R X:Y:Z 就是把我們內(nèi)部的Y機(jī)器的Z端口映射到遠(yuǎn)程機(jī)器的X端口上。

?

三、建立SSH隧道的幾個(gè)技巧

自動(dòng)重連

　　隧道可能因?yàn)槟承┰驍嚅_(kāi)，例如：機(jī)器重啟，長(zhǎng)時(shí)間沒(méi)有數(shù)據(jù)通信而被路由器切斷等等。因此我們可以用程序控制隧道的重新連接，例如一個(gè)簡(jiǎn)單的循環(huán)或者使用?djb’s daemontools?. 不管用哪種方法，重連時(shí)都應(yīng)避免因輸入密碼而卡死程序。關(guān)于如何安全的避免輸入密碼的方法，請(qǐng)參考我的如何實(shí)現(xiàn)安全的免密碼ssh登錄?。這里請(qǐng)注意，如果通過(guò)其他程序控制隧道連接，應(yīng)當(dāng)避免將SSH客戶端放到后臺(tái)執(zhí)行，也就是去掉-f參數(shù)。

保持長(zhǎng)時(shí)間連接

　　有些路由器會(huì)把長(zhǎng)時(shí)間沒(méi)有通信的連接斷開(kāi)。SSH客戶端的TCPKeepAlive選項(xiàng)可以避免這個(gè)問(wèn)題的發(fā)生，默認(rèn)情況下它是被開(kāi)啟的。如果它被關(guān)閉了，可以在ssh的命令上加上-o TCPKeepAlive=yes來(lái)開(kāi)啟。

另一種方法是，去掉-N參數(shù)，加入一個(gè)定期能產(chǎn)生輸出的命令。例如: top或者vmstat。下面給出一個(gè)這種方法的例子：

ssh -R 2222:localhost:22 123.123.123.123 "vmstat 30"

?

檢查隧道狀態(tài)

　　有些時(shí)候隧道會(huì)因?yàn)橐恍┰蛲ㄐ挪粫扯ㄋ?#xff0c;例如：由于傳輸數(shù)據(jù)量太大，被路由器帶入stalled狀態(tài)。這種時(shí)候，往往SSH客戶端并不退出，而是卡死在 那里。一種應(yīng)對(duì)方法是，使用SSH客戶端的ServerAliveInterval和ServerAliveCountMax選項(xiàng)。 ServerAliveInterval會(huì)在隧道無(wú)通信后的一段設(shè)置好的時(shí)間后發(fā)送一個(gè)請(qǐng)求給服務(wù)器要求服務(wù)器響應(yīng)。如果服務(wù)器在 ServerAliveCountMax次請(qǐng)求后都沒(méi)能響應(yīng)，那么SSH客戶端就自動(dòng)斷開(kāi)連接并退出，將控制權(quán)交給你的監(jiān)控程序。這兩個(gè)選項(xiàng)的設(shè)置方法分 別是在ssh時(shí)加入-o ServerAliveInterval=n和-o ServerAliveCountMax=m。其中n, m可以自行定義。

如何將端口綁定到外部地址上

　　使用上面的方法，映射的端口只能綁定在127.0.0.1這個(gè)接口上。也就是說(shuō)，只能被本機(jī)自己訪問(wèn)到。如何才能讓其他機(jī)器訪問(wèn)這個(gè)端口呢？我們可以把這個(gè) 映射的端口綁定在0.0.0.0的接口上，方法是加上參數(shù)-b 0.0.0.0。同時(shí)還需要打開(kāi)SSH服務(wù)器端的一個(gè)選項(xiàng)－GatewayPorts。默認(rèn)情況下它應(yīng)當(dāng)是被打開(kāi)的。如果被關(guān)閉的話，可以在/etc /sshd_config中修改GatewayPorts no為GatewayPorts yes來(lái)打開(kāi)它。

如何尋找中間服務(wù)器

如果你家里使用ADSL上網(wǎng)，多半你會(huì)比較幸運(yùn)。一般的ADSL（例如?聯(lián)通?的ADSL）都是有互聯(lián)網(wǎng)地址的。你只需要在家里的路由器上一臺(tái)裝有OpenSSH server機(jī)器的SSH端口映射出去即可。同時(shí)一些提供SSH訪問(wèn)的虛擬主機(jī)也可以用于這一用途。例如：?Hostmonser?或者?Dreamhost?.

?

四、通過(guò)SSH隧道建立SOCKS服務(wù)器

如果我們需要借助一臺(tái)中間服務(wù)器訪問(wèn)很多資源，一個(gè)個(gè)映射顯然不是高明的辦法（事實(shí)上，高明確實(shí)沒(méi)有用這個(gè)方法）。幸好，SSH客戶端為我們提供了通過(guò)SSH隧道建立SOCKS服務(wù)器的功能。

通過(guò)下面的命令我們可以建立一個(gè)通過(guò)123.123.123.123的SOCKS服務(wù)器。

ssh -N -f -D 1080 123.123.123 # 將端口綁定在127.0.0.1上 ssh -N -f -D 0.0.0.0:1080 123.123.123.123 # 將端口綁定在0.0.0.0上

?

通過(guò)SSH建立的SOCKS服務(wù)器使用的是SOCKS5協(xié)議，在為應(yīng)用程序設(shè)置SOCKS代理的時(shí)候要特別注意。

?

五、總結(jié)

至 此，我們已經(jīng)對(duì)如何利用SSH隧道有一個(gè)基本的認(rèn)識(shí)了?，F(xiàn)在，文章開(kāi)始時(shí)的那些問(wèn)題應(yīng)該迎刃而解了吧。這里要特別說(shuō)一下，由于SSH隧道也使用了SSH加 密協(xié)議，因此是不會(huì)被防火墻上的內(nèi)容過(guò)濾器監(jiān)控到的。也就是說(shuō)一切在隧道中傳輸?shù)臄?shù)據(jù)都是被加密的。當(dāng)然，離開(kāi)隧道后的數(shù)據(jù)還是會(huì)保持自己原有的樣子，沒(méi) 有加密的數(shù)據(jù)還是會(huì)被后續(xù)的路由設(shè)備監(jiān)控到。

?

?

PS:編者另注

　　在大多數(shù)情況下，我們建立ssh隧道的時(shí)候，往往是想通過(guò)一臺(tái)公網(wǎng)的主機(jī)或者是大家都可以訪問(wèn)的主機(jī)做跳轉(zhuǎn)機(jī)，來(lái)訪問(wèn)內(nèi)部或者外部不能直接訪問(wèn)的機(jī)器。所以一般像這種情況下，請(qǐng)將跳轉(zhuǎn)機(jī)中的ssh服務(wù)器中的GatewayPorts設(shè)為yes

　　1.建立本地的ssh隧道時(shí)，可以指定本地主機(jī)的地址，如下：

ssh -Nf -L 192.168.0.100:2121:234.234.234.234:21 123.123.123.123

?　　那么本地局域網(wǎng)的任何機(jī)器訪問(wèn)192.168.0.100:2121都會(huì)自動(dòng)被映射到234.234.234.234:21

　　

　　2.建立遠(yuǎn)程的ssh隧道時(shí)，可以指定公網(wǎng)的主機(jī)地址，不過(guò)一般情況是要訪問(wèn)內(nèi)網(wǎng)的主機(jī)，所以這條命令應(yīng)該在任何一臺(tái)內(nèi)網(wǎng)主機(jī)上執(zhí)行，比如在192.168.0.102的主機(jī)上運(yùn)行：

ssh -Nf -R 123.123.123.123:2222:192.168.0.100:22 123.123.123.123

?只要在局域網(wǎng)里192.168.0.102可以直接連接內(nèi)網(wǎng)主機(jī)192.168.0.100，且192.168.0.102可以直接與公網(wǎng)主機(jī)123.123.123.123建立ssh連接。那么任何外網(wǎng)主機(jī)通過(guò)訪問(wèn)公網(wǎng)主機(jī)123.123.123.123:2222就會(huì)被連接到192.168.0.100:22，從而可以完成外網(wǎng)穿越NAT到內(nèi)網(wǎng)的訪問(wèn)，而不需要在內(nèi)網(wǎng)網(wǎng)關(guān)和路由器上做任何操作。

?　　

　　另外，你也可以通過(guò)Xshell、Putty等工具來(lái)實(shí)現(xiàn)linux主機(jī)與本地windows的端口轉(zhuǎn)發(fā)、socket代理，還有一些像ProxyChains 工具的使用。

?

推薦鏈接：

通過(guò)ssh開(kāi)啟代理[1]xshell開(kāi)socket代理：http://jingyan.baidu.com/article/3052f5a1b4dc2797f21f866d.html

通過(guò)ssh開(kāi)啟代理[2]xshell進(jìn)行端口轉(zhuǎn)發(fā)：http://jingyan.baidu.com/article/09ea3ededbb6b6c0aede39d2.html

通過(guò)ssh tunnel訪問(wèn)內(nèi)網(wǎng)Subversion：http://crazycode.iteye.com/blog/568754

Xshell通過(guò)SSH密鑰、SSH代理連接Linux服務(wù)器詳解：http://hi.baidu.com/kdsex/item/40205cc30a84d052ac00ef56

?

轉(zhuǎn)載于:https://www.cnblogs.com/williamjie/p/9684684.html

總結(jié)

以上是生活随笔為你收集整理的SSH隧道技术----端口转发，socket代理的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。