一、SSH端口转发简介
SSH会自动加密和解密所有SSH客户端与服务端之间的网络数据。但是,SSH还能够将其他TCP端口的网络数据通SSH链接来转发,并且自动提供了相应的加密及解密服务。这一过程也被叫做"隧道"(tunneling),这是因为SSH为其他TCP链接提供了一个安全的通道来进行传输而得名。例如,Telnet ,SMTP ,LDAP这些TCP应用均能够从中得益,避免了用户名,密码以及隐私信息的明文传输。而与此同时,如果工作环境许中的防火墙限制了一些网络端口的使用,但是允许SSH的连接,也能够将通过将TCP用端口转发来使用SSH进行通讯。
1.1 SSH端口转发的两大功能加密SSH Client端至SSH Server端之间的通讯数据。
突破防火墙的简直完成一些之前无法建立的TCP连接。
二、本地转发命令:-L localport:remotehost:remotehostport sshserver
说明:localport 本机开启的端口号
remotehost 最终连接机器的IP地址
remotehostport 转发机器的端口号
sshserver 转发机器的IP地址
选项:-f 后台启用
-N 不打开远程shell,处于等待状态(不加-N则直接登录进去)
-g 启用网关功能
接下来,我们通过实验来详细的说明一下如何实现本地转发:
实验一:实现SSH端口转发——本地转发
实验步骤:
1)模拟C机器不允许A用户连接,并且开启B机器的telnet服务端口23。
在centos7上输入以下口令:
iptables -A INPUT -s 192.168.191.55 -j REJECT
此时,从rhel5用ssh命令连接centos7,是拒绝的:
同时,我们还要开启7的telnet服务端口23:
systemctl start telnet.soc ket
用ss -ntl命令可以查看的服务端口是否已开启
2)开启端口转发(telnet隧道)
首先,我们在5机器上确认已经开启的端口有哪些:
我们使用的端口是9527端口,从上图中我么已经看出,9527端口没有被占用,所以我们可以使用~
接着我们建立本地转发的隧道(5上输入以下命令):
ssh -L 9527:192.168.191.77:23 -fN 192.168.191.66
在这里,我们可以使用ps aux来查询后台运行的进程。也可以通过ss -nt查看接口连接情况:
3)在rhel5上输入以下命令,用9527端口连接自己:
telnet 127.0.0.1 9527
此时,我们可以查看一下centos6和centos7的连接情况:
至此,我们已经实现了A用户在公司外部远程连接C机器的需求,接下来我们就来讲一讲实现过程:
data <- -> localhost:9527端口 <- -> localhost:XXXXX(随机在客户端6开一个端口) <- -> sshsrv:22(通过ssh封装) <- -> sshsrv:YYYYY(服务器解封装,开一个端口,代表telnet客户端) <- -> telnetsrv:23
用大白话来解释就是:当rhel5(A用户)连接自己的9527端口时,该请求自然会通过ssh协议封装发送给centos6(B机器),然后在centos6(C机器)上解封装,形成telnet流量,发送给centos7(C机器)。
实验做完了,如果我们想要停止这个隧道,直接把后台的隧道进程杀死就可以了,命令如下:
killall ssh
我们的实验圆满完成ヾ(✿゚▽゚)ノ
三、远程转发