SSH有三种端口转发模式,本地端口转发(Local Port Forwarding),远程端口转发(Remote Port Forwarding)以及动态端口转发(Dynamic Port Forwarding)。对于本地/远程端口转发,两者的方向恰好相反。动态端口转发则可以用于FQ。
SSH端口转发也被称作SSH隧道(SSH Tunnel),因为它们都是通过SSH登陆之后,在SSH客户端与SSH服务端之间建立了一个隧道,从而进行通信。SSH隧道是非常安全的,因为SSH是通过加密传输数据的(SSH全称为Secure Shell)。
在本文所有示例中,本地主机A1为SSH客户端,远程云主机B1为SSH服务端。从A1主机通过SSH登陆B1主机,指定不同的端口转发选项(-L、-R和-D),即可在A1与B1之间建立SSH隧道,从而进行不同的端口转发。
本地端口转发 应用场景:远程云主机B1运行了一个服务,端口为3000,本地主机A1需要访问这个服务。
示例为一个简单的Node.js服务:
var http = require('http'); var server = http.createServer(function(request, response) { response.writeHead(200, { "Content-Type": "text/plain" }); response.end("Hello Fundebug\n"); }); server.listen(3000);假设云主机B1的IP为103.59.22.17,则该服务的访问地址为::3000
为啥需要本地端口转发呢?一般来讲,云主机的防火墙默认只打开了22端口,如果需要访问3000端口的话,需要修改防火墙。为了保证安全,防火墙需要配置允许访问的IP地址。但是,本地公网IP通常是网络提供商动态分配的,是不断变化的。这样的话,防火墙配置需要经常修改,就会很麻烦。
什么是本地端口转发?所谓本地端口转发,就是将发送到本地端口的请求,转发到目标端口。这样,就可以通过访问本地端口,来访问目标端口的服务。使用-L属性,就可以指定需要转发的端口,语法是这样的:
-L 本地网卡地址:本地端口:目标地址:目标端口通过本地端口转发,可以将发送到本地主机A1端口2000的请求,转发到远程云主机B1的3000端口。
# 在本地主机A1登陆远程云主机B1,并进行本地端口转发 ssh -L localhost:2000:localhost:3000 root@103.59.22.17如果远程主机也是通过隧道来进行访问的话,那么需要加入端口号来进行登录而不是默认的ssh的22端口号
# 假设要访问的主机是属于远程内网主机,那么此时就是搭建的隧道来访问了(隧道的搭建也是通过ssh端口转发来搭建的),这里的2061端口就是暴露出的端口,通过这个端口可以访问到远程内网主机 ssh -L localhost:2000:localhost:3000 root@103.59.22.17 -p 2061这样,在本地主机A1上可以通过访问:2000来访问远程云主机B1上的Node.js服务。
# 在本地主机A1访问远程云主机B1上的Node.js服务 curl :2000 Hello Fundebug实际上,-L选项中的本地网卡地址是可以省略的,这时表示2000端口绑定了本地主机A1的所有网卡:
# 在本地主机A1登陆远程云主机B1,并进行本地端口转发。2000端口绑定本地所有网卡 ssh -L 2000:localhost:3000 root@103.59.22.17若本地主机A2能够访问A1,则A2也可以通过A1访问远程远程云主机B1上的Node.js服务。
另外,-L选项中的目标地址也可以是其他主机的地址。假设远程云主机B2的局域网IP地址为192.168.59.100,则可以这样进行端口转发:
# 在本地主机A1登陆远程云主机B1,并进行本地端口转发。请求被转发到远程云主机B2上 ssh -L 2000:192.168.59.100:3000 root@103.59.22.17若将Node.js服务运行在远程云主机B2上,则发送到A1主机2000端口的请求,都会被转发到B2主机上。
远程端口转发 应用场景:本地主机A1运行了一个服务,端口为3000,远程云主机B1需要访问这个服务。
将前文的Node.js服务运行在本地,在本地就可以通过:3000访问该服务。
为啥需要远程端口转发呢?通常,本地主机是没有独立的公网IP的,它与同一网络中的主机共享一个IP。没有公网IP,云主机是无法访问本地主机上的服务的。
什么是远程端口转发?所谓远程端口转发,就是将发送到远程端口的请求,转发到目标端口。这样,就可以通过访问远程端口,来访问目标端口的服务。使用-R属性,就可以指定需要转发的端口,语法是这样的:
-R 远程网卡地址:远程端口:目标地址:目标端口这时,通过远程端口转发,可以将发送到远程云主机B1端口2000的请求,转发到本地主机A1端口3000。
# 在本地主机A1登陆远程云主机B1,并进行远程端口转发 ssh -R localhost:2000:localhost:3000 root@103.59.22.17这样,在远程云主机A1可以通过访问:2000来访问本地主机的服务。
# 在远程云主机B1访问本地主机A1上的Node.js服务 curl :2000 Hello Fundebug