SSH 端口轉發之圖解

綁定本地端口

既然SSH能夠傳送數據，那麼咱們可讓那些不加密的網絡鏈接，所有改走SSH鏈接，從而提升安全性。

假定咱們要讓8080端口的數據，都經過SSH傳向遠程主機，命令就這樣寫：

　　$ ssh -D 1080 user@host

SSH會創建一個socket，去監聽本地的1080端口。一旦有數據傳向那個端口，就自動把它轉移到SSH鏈接上面，發往遠程主機。能夠想象，若是1080端口原來是一個不加密端口，如今將變成一個加密端口。

本地端口轉發

有時，綁定本地端口還不夠，還必須指定數據傳送的目標主機，從而造成點對點的"端口轉發"。爲了區別後文的"遠程端口轉發"，咱們把這種狀況稱爲"本地端口轉發"（Local forwarding）。

假定Clien是本地主機，mailhost是遠程主機。因爲種種緣由，這兩臺主機之間沒法連通。可是，另外還有一臺sshhost，能夠同時連通前面兩臺主機。所以，很天然的想法就是，經過sshhost，將client連上mailhost。

咱們在Client執行下面的命令：

　　$ ssh -L 2025:mailhost:25 sshhost

命令中的L參數一共接受三個值，分別是"本地端口:目標主機:目標主機端口"，它們之間用冒號分隔。這條命令的意思，就是指定SSH綁定本地端口2025，而後指定sshhost將全部的數據，轉發到目標主機mailhost的25端口（假定host2運行mail server ，默認端口爲25）。

這樣一來，咱們只要鏈接local的2025端口，就等於連上了mailhost的25端口。

　　$ telnet localhost:2025

"本地端口轉發"使得client和mail server之間彷彿造成一個數據傳輸的祕密隧道，所以又被稱爲"SSH隧道"。

 

 

 

10、遠程端口轉發

既然"本地端口轉發"是指綁定本地端口的轉發，那麼"遠程端口轉發"（remote forwarding）固然是指綁定遠程端口的轉發。

仍是接着看上面那個例子，Client 與mail server之間沒法連通，必須藉助sshhost轉發。可是，特殊狀況出現了，sshhost是一臺內網機器，它能夠鏈接外網的Client，可是反過來就不行，外網的Client連不上內網的sshhost。這時，"本地端口轉發"就不能用了，怎麼辦？

解決辦法是，既然sshhost能夠連Client，那麼就從sshhost上創建與Client的SSH鏈接，而後在Client上使用這條鏈接就能夠了。

咱們在sshhost執行下面的命令：

　　$ ssh -R 2025:mailhost:25 Client

R參數也是接受三個值，分別是"遠程主機端口:目標主機:目標主機端口"。這條命令的意思，就是讓Client監聽它本身的2025端口，而後將全部數據經由sshhost，轉發到mailhost的25端口。因爲對於sshhost來講，mailserver是遠程主機，因此這種狀況就被稱爲"遠程端口綁定"。

綁定以後，咱們在Client就能夠鏈接mailserver了：

　　$ telnet localhost:2025

這裏必須指出，"遠程端口轉發"的前提條件是，兩臺主機都有sshD和ssh客戶端。

 

www.jiangyexiang.com

 

QQ×××流：283605880