SSH是我使用最頻繁的兩個命令行工具之一(另一個則必須是vim)���。有了ssh,我可以遠程處理各種可能出現(xiàn)的問題而無需肉身到現(xiàn)場�����。
成都創(chuàng)新互聯(lián)是一家專注于網(wǎng)站建設(shè)����、網(wǎng)站設(shè)計與策劃設(shè)計,江南網(wǎng)站建設(shè)哪家好?成都創(chuàng)新互聯(lián)做網(wǎng)站,專注于網(wǎng)站建設(shè)10多年,網(wǎng)設(shè)計領(lǐng)域的專業(yè)建站公司;建站業(yè)務(wù)涵蓋:江南等地區(qū)。江南做網(wǎng)站價格咨詢:13518219792
這幾天teamviewer被黑的事情影響挺大���,于是由遠程控制想到了內(nèi)網(wǎng)穿透����,自然而然的想到了ssh的端口轉(zhuǎn)發(fā)也能實現(xiàn)內(nèi)網(wǎng)穿透�����。再細想一下�����,發(fā)現(xiàn)ssh隧道�、或者說端口轉(zhuǎn)發(fā),竟然實現(xiàn)了正向代理�、反向代理和內(nèi)網(wǎng)穿透三種常用的網(wǎng)絡(luò)功能,更佩服其功能的強大和使用中的便利����。
ssh有三種端口轉(zhuǎn)發(fā)模式,本文一一對其做簡要介紹���。
本地轉(zhuǎn)發(fā)
本地端口轉(zhuǎn)發(fā)(Local Port Forwarding)�,是將本地主機某個端口流量轉(zhuǎn)發(fā)到遠程主機的指定端口。其命令行語法是:-L [bind_address]:localport:[remote_host]:remote_port���?����!?L”即“l(fā)ocal”的首字母��,類似的遠程轉(zhuǎn)發(fā)的”-R”是“remote”的首字母��,動態(tài)轉(zhuǎn)發(fā)的“-D”是“dynamic”的首字母�����,很好記�。
舉一個例子說明本地轉(zhuǎn)發(fā)的使用場景����。
CentOS 7安裝GUI界面及遠程連接一文中介紹了安裝vnc服務(wù)并開啟端口訪問。在實際中���,暴露出來的59xx端口每天都會源源不斷的受到自動化腳本的爆破攻擊����。如果你的vnc和登錄用戶使用弱密碼或字典密碼�,主機安全將受到極大威脅。這種情形下該如何防護���?
一種簡單安全的防護方法是:使用iptables/firewalld關(guān)閉端口的外網(wǎng)訪問����,有連接需求時用ssh隧道轉(zhuǎn)發(fā)端口:
ssh -L5901:5901 username@host
該命令中將本地的5901端口通過ssh隧道轉(zhuǎn)發(fā)到遠程主機的5901端口�����,遠程連接時輸入localhost或者127.0.0.1和5901端口便連到了遠程主機的5901端口�����。通過iptables和ssh的本地轉(zhuǎn)發(fā)��,實現(xiàn)了他人無法連接���,只有自己才能訪問的目的�����。
需要注意的是“-L”選項中的“遠程主機”并不特指連接過去的機器(默認是連接上的機器)�,可以是任何一主機。例如可以將本機的8080端口流量轉(zhuǎn)發(fā)到facebook.com的80端口:
ssh -L8080:facebook.com:80 username@host
遠程轉(zhuǎn)發(fā)
遠程端口轉(zhuǎn)發(fā)(Remote Port Forwarding)�����,是將遠程主機某個端口轉(zhuǎn)發(fā)到遠程主機的指定端口����。其命令行語法是:-R [bind_address]:port:[local_host]:local_port。
遠程轉(zhuǎn)發(fā)最常用的功能是內(nèi)網(wǎng)穿透����。有一個公網(wǎng)ip的主機,便可以借助ssh隧道的遠程轉(zhuǎn)發(fā)實現(xiàn)內(nèi)網(wǎng)滲透���,達到外網(wǎng)訪問內(nèi)網(wǎng)資源的目的���。需要注意的是ssh遠程轉(zhuǎn)發(fā)默認只能綁定遠程主機的本地地址,即127.0.0.1���。如果想要監(jiān)聽來自其他主機的連接����,需要修改遠程主機ssh的配置,將”GatewayPorts”改成“yes”��,重啟ssh后生效���。
一個將遠程的8080端口流量轉(zhuǎn)發(fā)到本地80web端口的示例:
ssh -R0.0.0.0:8080:80 username@host
通過遠程轉(zhuǎn)發(fā),訪問公網(wǎng)ip主機的8080端口便是訪問內(nèi)網(wǎng)web主機的80端口��,這樣就實現(xiàn)了內(nèi)網(wǎng)穿透����。
動態(tài)轉(zhuǎn)發(fā)
無論本地轉(zhuǎn)發(fā)還是遠程轉(zhuǎn)發(fā),都需要指定本地和遠程主機的端口�。動態(tài)轉(zhuǎn)發(fā)(Dynamic Port Forwarding)則擺脫這種限制,只綁定本地端口����,遠程主機和端口由發(fā)起的請求決定。動態(tài)轉(zhuǎn)發(fā)的語法是:”-D bind_address:port”���,一個轉(zhuǎn)發(fā)示例:
ssh -D 8080 username@host
該命令讓ssh監(jiān)聽本地8080端口���,經(jīng)過8080端口的流量都通過ssh隧道由遠程服務(wù)器代為請求,從而達到獲取被屏蔽資源����、隱藏真實身份的目的�����。
動態(tài)轉(zhuǎn)發(fā)實際上實現(xiàn)了正向代理功能��,因此可以用來科學上網(wǎng)�����。本地轉(zhuǎn)發(fā)也可以做正向代理���,但要對每一個請求的主機和端口做轉(zhuǎn)發(fā),比較繁瑣����,實踐中不會這么用。
其它
- 從用戶端角度看�,本地轉(zhuǎn)發(fā)是正向代理;從資源提供方角度看�����,本地轉(zhuǎn)發(fā)是反向代理�;
- ssh連接斷開遠程轉(zhuǎn)發(fā)/內(nèi)網(wǎng)滲透便失效。如果希望遠程轉(zhuǎn)發(fā)一直有效,需要ssh?��;罴夹g(shù)�,建議用frp等專注于內(nèi)網(wǎng)滲透的解決方案����;
- 雖然ssh隧道中的流量都經(jīng)過了加密���,但防火墻對ssh隧道中承載的流量能比較智能的識別�,因此用作科學上網(wǎng)很容易受到干擾����;
- 如果僅做端口轉(zhuǎn)發(fā),實踐中上述命令經(jīng)常與”-NT -f”選項結(jié)合使用�。其中”-f”選項將命令放入后臺執(zhí)行,斷開連接需要用kill命令�;
- 從代理角度看,ssh隧道是低效的��,建議用專用軟件�����;
- ssh隧道的流量都經(jīng)過了加密,從安全角度是十分可靠的�����。
本篇文章到此結(jié)束��,如果您有相關(guān)技術(shù)方面疑問可以聯(lián)系我們技術(shù)人員遠程解決�,感謝大家支持本站!
成都網(wǎng)站推廣找創(chuàng)新互聯(lián)�,老牌網(wǎng)站營銷公司
成都網(wǎng)站建設(shè)公司創(chuàng)新互聯(lián)(www.cdcxhl.com)專注高端網(wǎng)站建設(shè),網(wǎng)頁設(shè)計制作,網(wǎng)站維護,網(wǎng)絡(luò)營銷,SEO優(yōu)化推廣,快速提升企業(yè)網(wǎng)站排名等一站式服務(wù)。IDC基礎(chǔ)服務(wù):云服務(wù)器��、虛擬主機�、網(wǎng)站系統(tǒng)開發(fā)經(jīng)驗、服務(wù)器租用�����、服務(wù)器托管提供四川���、成都�����、綿陽�����、雅安�、重慶、貴州�、昆明、鄭州��、湖北十堰機房互聯(lián)網(wǎng)數(shù)據(jù)中心業(yè)務(wù)���。
分享題目:linux ssh端口轉(zhuǎn)發(fā)的三種方式
本文來源:
http://uogjgqi.cn/article/cdgsphg.html
