何謂SSH隧道

隧道是把一種網(wǎng)絡(luò)協(xié)議封裝進(jìn)另外一種網(wǎng)絡(luò)協(xié)議進(jìn)行傳輸?shù)募夹g(shù)青扔。這里我們研究ssh隧道源织，所以所有的網(wǎng)絡(luò)通訊都是加密的。又被稱作端口轉(zhuǎn)發(fā)微猖，因為ssh隧道通常會綁定一個本地端口谈息，所有發(fā)向這個端口的數(shù)據(jù)包，都會被加密并透明地傳輸?shù)竭h(yuǎn)端系統(tǒng)凛剥。

SSH隧道的類型

ssh隧道有3種類型：

1. 動態(tài)端口轉(zhuǎn)發(fā)（Sockets 代理）
2. 本地端口轉(zhuǎn)發(fā)
3. 遠(yuǎn)端端口轉(zhuǎn)發(fā)

動態(tài)端口轉(zhuǎn)發(fā)

動態(tài)端口允許通過配置一個本地端口侠仇，通過隧道將數(shù)據(jù)轉(zhuǎn)發(fā)到遠(yuǎn)端的所有地址。本地的應(yīng)用程序需要使用Socks協(xié)議與本地端口通訊犁珠。此時SSH充當(dāng)Socks代理服務(wù)器的角色逻炊。

命令格式

ssh -D [bind_address:]port

參數(shù)說明

• bind_address 指定綁定的IP地址互亮，默認(rèn)情況會綁定在本地的回環(huán)地址（即127.0.0.1），如果空值或者為*會綁定本地所有的IP地址嗅骄，如果希望綁定的端口僅供本機使用胳挎，可以指定為localhost。
• port 指定本地綁定的端口

使用場景

假設(shè)X網(wǎng)絡(luò)（192.168.18.0/24）有主機A（192.168.18.100）,Y網(wǎng)絡(luò)（192.168.2.0/24）有主機B（192.168.2.100）和主機C（192.168.2.101）溺森，已知主機A可以連接主機B慕爬，但無法連接主機C。

在主機A執(zhí)行

ssh -D localhost:8080 root@192.168.2.100

然后主機A上的應(yīng)用程序就可以通過

SOCKS5 localhost:8080

訪問主機C上的服務(wù)

優(yōu)點：配置一個代理服務(wù)就可以訪問遠(yuǎn)端機器和與其所在子網(wǎng)絡(luò)的所有服務(wù)

缺點：應(yīng)用程序需要額外配置SOCKS代理屏积，若應(yīng)用程序不支持代理配置則無法使用

本地端口轉(zhuǎn)發(fā)

通過SSH隧道医窿，將一個遠(yuǎn)端機器能夠訪問到的地址和端口，映射為一個本地的端口炊林。

命令格式

ssh -L [bind_address:]port:host:hostport

參數(shù)說明

• bind_address 指定綁定的IP地址姥卢，默認(rèn)情況會綁定在本地的回環(huán)地址（即127.0.0.1），如果空值或者為*會綁定本地所有的IP地址渣聚，如果希望綁定的端口僅供本機使用独榴，可以指定為localhost。
• port 指定本地綁定的端口
• host 指定數(shù)據(jù)包轉(zhuǎn)發(fā)目標(biāo)地址的IP奕枝，如果目標(biāo)主機和ssh server是同一臺主機時該參數(shù)指定為localhost
• host_port 指定數(shù)據(jù)包轉(zhuǎn)發(fā)目標(biāo)端口

使用場景

假設(shè)X網(wǎng)絡(luò)（192.168.18.0/24）有主機A（192.168.18.100）,Y網(wǎng)絡(luò)（192.168.2.0/24）有主機B（192.168.2.100）和主機C（192.168.2.101）棺榔，已知主機A可以連接主機B，但無法連接主機C隘道。A主機需要訪問C主機的mysql服務(wù)（3306）

在A主機上建立本地轉(zhuǎn)發(fā)端口33306

ssh -L 192.168.18.100:33306:192.168.2.101:3306 root@192.168.2.100

然后本地mysql客戶端通過33306端口訪問c主機的mysql服務(wù)

mysql -h 192.168.18.100 -P33306 -p

注意mysql賬號的權(quán)限症歇，源地址為主機B的地址。

優(yōu)點：無需設(shè)置代理
缺點：每個服務(wù)都需要配置不同的端口轉(zhuǎn)發(fā)

遠(yuǎn)端端口轉(zhuǎn)發(fā)

遠(yuǎn)程端口轉(zhuǎn)發(fā)用于某些單向阻隔的內(nèi)網(wǎng)環(huán)境谭梗，比如說NAT忘晤，網(wǎng)絡(luò)防火墻。在NAT設(shè)備之后的內(nèi)網(wǎng)主機可以直接訪問公網(wǎng)主機激捏，但外網(wǎng)主機卻無法訪問內(nèi)網(wǎng)主機的服務(wù)设塔。如果內(nèi)網(wǎng)主機向外網(wǎng)主機建立一個遠(yuǎn)程轉(zhuǎn)發(fā)端口，就可以讓外網(wǎng)主機通過該端口訪問該內(nèi)網(wǎng)主機的服務(wù)远舅∫贾茫可以把這個內(nèi)網(wǎng)主機理解為“內(nèi)應(yīng)”和“開門者”。

命令格式

ssh -R [bind_address:]port:host:hostport

參數(shù)說明

• bind_address 指定綁定的IP地址表谊，默認(rèn)情況會綁定在本地的回環(huán)地址（即127- .0.0.1）钞护，如果空值或者為*會綁定本地所有的IP地址，如果希望綁定的端口- 僅供本機使用爆办，可以指定為localhost难咕。
• port 指定本地綁定的端口
• host 指定數(shù)據(jù)包轉(zhuǎn)發(fā)源地址的IP，如果源主機和ssh - server是同一臺主機時該參數(shù)指定為localhost
• host_port 指定數(shù)據(jù)包轉(zhuǎn)發(fā)源端口

使用場景
假設(shè)X網(wǎng)絡(luò)（192.168.18.0/24）有主機A（192.168.18.100）,Y網(wǎng)絡(luò)（192.168.2.0/24）有主機B（192.168.2.100）和主機C（192.168.2.101），已知主機A可以通過SSH訪問登錄B主機余佃，但反向直接連接被禁止暮刃，主機B和主機C可以相互訪問。若主機C想訪問主機A的mysql服務(wù)（3306端口）爆土。

在主機A執(zhí)行如下命令椭懊，開放B主機遠(yuǎn)端端口轉(zhuǎn)發(fā)。

ssh -R 33306:3306 root@192.168.2.100
ssh -R 33306:192.168.18.101:3306 root@192.168.2.100

ssh -R 遠(yuǎn)端跳板機端口:目的服務(wù)IP:目的服務(wù)端口 ssh用戶名@ssh主機
#git代理
ssh -R 28080:192.168.18.100:80 root@192.168.2.100

然后主機C連接主機B的33306端口

優(yōu)點：可以穿越防火墻和NAT設(shè)備
缺點：每個服務(wù)都需要配置不同的端口轉(zhuǎn)發(fā)

如何禁止端口轉(zhuǎn)發(fā)
設(shè)置ssh服務(wù)配置文件/etc/ssh/sshd_config

AllowTcpForwarding no

ssh -L 172.20.213.232:33306:172.20.213.231:3306 app@172.20.213.231

更多參數(shù)

• -N 告訴SSH客戶端步势，這個連接不需要執(zhí)行任何命令氧猬。僅僅做端口轉(zhuǎn)發(fā)
• -f 告訴SSH客戶端在后臺運行
• -o TCPKeepAlive=yes

autossh

autossh能保證ssh隧道掛后臺一直執(zhí)行，使得隧道更加穩(wěn)定可靠坏瘩，強烈推薦使用

安裝autossh

wget https://www.harding.motd.ca/autossh/autossh-1.4g.tgz
tar -zxf autossh-1.4g.tgz
cd autossh-1.4g
./configure
make
sudo make install

使用autossh

動態(tài)代理

autossh -M 5678 -CqTfnN -D 192.168.0.2:1080 root@192.168.2.100

-M為autossh參數(shù)盅抚， -CqTfnN -D 為ssh參數(shù)

• -M 5678 : 負(fù)責(zé)通過5678端口監(jiān)視連接狀態(tài)，連接有問題時就會自動重連
• -C ：啟動數(shù)據(jù)壓縮傳輸
• -q ：安靜模式運行，忽略提示和錯誤
• -T ：不占用shell
• -f ：后臺運行
• -n ：配合 -f 參數(shù)使用
• -N ：不執(zhí)行遠(yuǎn)程命令，適合端口轉(zhuǎn)場景
• -D 192.168.0.2:1080 ：指定一個本地機器 “動態(tài)的“ - 應(yīng)用程序端口轉(zhuǎn)發(fā)竟坛，如果不加IP地址，默認(rèn)只監(jiān)聽127.0.0.1

端口轉(zhuǎn)發(fā)

#在192.168.0.100上開啟Git代理
autossh -M5690 -CqTfnN -R 28080:192.168.0.2:80 root@192.168.2.100
#在192.168.0.100上開啟SVN代理
autossh -M5692 -CqTfnN -R 28081:192.168.0.3:443 root@192.168.2.100
#開啟之后可以在192.168.2.100本地通過隧道訪問Git與SVN
curl http://192.168.2.100:28080
curl https://192.168.2.100:28081