SSH隧道技術(shù)----端口轉(zhuǎn)發(fā)，socket代理

原文的原始出處不詳本橙，本文也是在復(fù)制引用了某篇轉(zhuǎn)載，并做了必要的整理與編輯脆诉。

本文的受眾

如果你遇到了以下問(wèn)題甚亭，那么你應(yīng)該閱讀這篇文章

1. 我聽說(shuō)過(guò)這種技術(shù)，我對(duì)它很感興趣
2. 我想在家里訪問(wèn)我在公司的機(jī)器（寫程序击胜，查數(shù)據(jù)亏狰，下電影）。
3. 公司為了防止我們用XX軟件封鎖了它的端口或者服務(wù)器地址偶摔。
4. 公司不讓我們上XX網(wǎng)站暇唾，限制了網(wǎng)址甚至IP。
5. 公司不讓我們看關(guān)于XX的信息辰斋，甚至花血本買了XX設(shè)備策州，能夠?qū)?nèi)容進(jìn)行過(guò)濾。一看XX內(nèi)容宫仗，鏈接就中斷了抽活。
6. 我爸是搞電腦的，他在家里的路由器上動(dòng)了手腳锰什，我不能看XXX了下硕。

帶著這些問(wèn)題，我們先從什么是ssh隧道開始汁胆。

什么是SSH隧道

首 先看下面這張圖梭姓，我們所面臨的大部分情況都和它類似。我們的電腦在左上角嫩码，通過(guò)公司帶有防火墻功能的路由器接入互聯(lián)網(wǎng)（當(dāng)然可能還有交換機(jī)什么的在中間連 接著你和路由器誉尖，但是在我們的問(wèn)題中交換機(jī)并不起到什么關(guān)鍵性的作用）。左下腳的部分是一個(gè)網(wǎng)站的服務(wù)器铸题，它是我們公司防火墻策略的一部分铡恕，也就是說(shuō)公司 不希望我們?cè)L問(wèn)這個(gè)服務(wù)器。在左上還有一臺(tái)機(jī)器丢间，它也是屬于我們的探熔。但是這臺(tái)機(jī)器并不在我們公司里面，換句話說(shuō)他不受到公司防火墻的限制烘挫。最后也是最重 要的一點(diǎn)是诀艰，我們能夠在公司通過(guò)互聯(lián)網(wǎng)直接訪問(wèn)這臺(tái)機(jī)器。或者說(shuō)這臺(tái)位于公司防火墻外面的機(jī)器需要擁有一個(gè)獨(dú)立的互聯(lián)網(wǎng)IP其垄，同時(shí)公司的防火墻規(guī)則不會(huì)屏 蔽這臺(tái)機(jī)器苛蒲，并且這臺(tái)機(jī)器運(yùn)行著一個(gè)OpenSSH服務(wù)器。

image

現(xiàn) 在绿满，我們清楚地知道了自己所處的網(wǎng)絡(luò)環(huán)境臂外。并且不難理解我們?cè)诠緹o(wú)法訪問(wèn)那個(gè)服務(wù)器的原因是：線路A-B-C上A-B之間的防火墻屏蔽了對(duì)那個(gè)服務(wù)器的 訪問(wèn)。與此同時(shí)喇颁，我們也很快注意到寄月，線路A-B-D之間、D-C之間是不受阻礙的无牵。相信你已經(jīng)想到了，在A-B之間的防火墻不會(huì)屏蔽對(duì)機(jī)器d的訪問(wèn)厂抖。因此 我們可以通過(guò)機(jī)器d建立一個(gè)通道A-B-D-C茎毁，從而訪問(wèn)到機(jī)器c上的數(shù)據(jù)。

這條通道可以用很多技術(shù)來(lái)建立忱辅，這里我們僅僅介紹如何使用SSH服務(wù)器來(lái)建立這樣一個(gè)通道－他被稱為SSH隧道七蜘。

一、如何建立本地SSH隧道

在我們計(jì)劃建立一個(gè)本地SSH隧道之前墙懂，我們必須清楚下面這些數(shù)據(jù)：

1. 中間服務(wù)器d的IP地址
2. 要訪問(wèn)服務(wù)器c的IP地址
3. 要訪問(wèn)服務(wù)器c的端口

現(xiàn)在橡卤，我們把上面這張圖變得具體一些，給這些機(jī)器加上IP地址损搬。并且根據(jù)下面這張圖列出我們的計(jì)劃：

image

1. 需要訪問(wèn)234.234.234.234的FTP服務(wù)碧库，也就是端口21
2. 中間服務(wù)器是123.123.123.123

現(xiàn)在我們使用下面這條命令來(lái)達(dá)成我們的目的

ssh -N -f -L 2121:234.234.234.234:21 123.123.123.123
ftp localhost:2121 # 現(xiàn)在訪問(wèn)本地2121端口，就能連接234.234.234.234的21端口了

這里我們用到了SSH客戶端的三個(gè)參數(shù)巧勤，下面我們一一做出解釋：

• -N 告訴SSH客戶端嵌灰，這個(gè)連接不需要執(zhí)行任何命令。僅僅做端口轉(zhuǎn)發(fā)
• -f 告訴SSH客戶端在后臺(tái)運(yùn)行
• -L 做本地映射端口颅悉，被冒號(hào)分割的三個(gè)部分含義分別是最后一個(gè)參數(shù)是我們用來(lái)建立隧道的中間機(jī)器的IP地址(IP: 123.123.123.123)
  • 需要使用的本地端口號(hào)
  • 需要訪問(wèn)的目標(biāo)機(jī)器IP地址（IP: 234.234.234.234）
  • 需要訪問(wèn)的目標(biāo)機(jī)器端口（端口: 21)

我們?cè)僦貜?fù)一下-L參數(shù)的行為沽瞭。-L X:Y:Z的含義是，將IP為Y的機(jī)器的Z端口通過(guò)中間服務(wù)器映射到本地機(jī)器的X端口剩瓶。

在這條命令成功執(zhí)行之后驹溃，我們已經(jīng)具有繞過(guò)公司防火墻的能力，并且成功訪問(wèn)到了我們喜歡的一個(gè)FTP服務(wù)器了延曙。

二豌鹤、如何建立遠(yuǎn)程SSH隧道

通 過(guò)建立本地SSH隧道，我們成功地繞過(guò)防火墻開始下載FTP上的資源了枝缔。那么當(dāng)我們?cè)诩依锏臅r(shí)候想要察看下載進(jìn)度怎么辦呢傍药？大多數(shù)公司的網(wǎng)絡(luò)是通過(guò)路由器 接入互聯(lián)網(wǎng)的，公司內(nèi)部的機(jī)器不會(huì)直接與互聯(lián)網(wǎng)連接，也就是不能通過(guò)互聯(lián)網(wǎng)直接訪問(wèn)拐辽。通過(guò)線路D-B-A訪問(wèn)公司里的機(jī)器a便是不可能的拣挪。也許你已經(jīng)注意 到了，雖然D-B-A這個(gè)方向的連接不通俱诸，但是A-B-D這個(gè)方向的連接是沒(méi)有問(wèn)題的菠劝。那么，我們能否利用一條已經(jīng)連接好的A-B-D方向的連接來(lái)完成 D-B-A方向的訪問(wèn)呢睁搭？答案是肯定的赶诊，這就是遠(yuǎn)程SSH隧道的用途。

與本地SSH一樣园骆，我們?cè)诮⑦h(yuǎn)程SSH隧道之前要清楚下面幾個(gè)參數(shù)：

• 需要訪問(wèn)內(nèi)部機(jī)器的遠(yuǎn)程機(jī)器的IP地址（這里是123.123.123.123）
• 需要讓遠(yuǎn)程機(jī)器能訪問(wèn)的內(nèi)部機(jī)器的IP地址(這里因?yàn)槭窍氚驯緳C(jī)映射出去舔痪，因此IP是127.0.0.1)
• 需要讓遠(yuǎn)程機(jī)器能訪問(wèn)的內(nèi)部機(jī)器的端口號(hào)(端口:22)

在清楚了上面的參數(shù)后，我們使用下面的命令來(lái)建立一個(gè)遠(yuǎn)程SSH隧道锌唾，在192.168.0.100的主機(jī)上執(zhí)行下面的命令：

ssh -Nf -R 2222:127.0.0.1:22 123.123.123.123

現(xiàn)在锄码，在IP是123.123.123.123的機(jī)器上我們用下面的命令就可以登陸公司的IP是192.168.0.100的機(jī)器了。

ssh -p 2222 localhost

-N晌涕，-f 這兩個(gè)參數(shù)我們已經(jīng)在本地SSH隧道中介紹過(guò)了滋捶。我們現(xiàn)在重點(diǎn)說(shuō)說(shuō)參數(shù)-R。該參數(shù)的三個(gè)部分的含義分別是:

• 遠(yuǎn)程機(jī)器使用的端口（2222）
• 需要映射的內(nèi)部機(jī)器的IP地址(127.0.0.1)
• 需要映射的內(nèi)部機(jī)器的端口(22)

例如：-R X:Y:Z 就是把我們內(nèi)部的Y機(jī)器的Z端口映射到遠(yuǎn)程機(jī)器的X端口上余黎。

三重窟、建立SSH隧道的幾個(gè)技巧

自動(dòng)重連

隧道可能因?yàn)槟承┰驍嚅_，例如：機(jī)器重啟惧财，長(zhǎng)時(shí)間沒(méi)有數(shù)據(jù)通信而被路由器切斷等等巡扇。因此我們可以用程序控制隧道的重新連接，例如一個(gè)簡(jiǎn)單的循環(huán)或者使用 djb’s daemontools . 不管用哪種方法垮衷，重連時(shí)都應(yīng)避免因輸入密碼而卡死程序霎迫。關(guān)于如何安全的避免輸入密碼的方法，請(qǐng)參考我的如何實(shí)現(xiàn)安全的免密碼ssh登錄 帘靡。這里請(qǐng)注意知给，如果通過(guò)其他程序控制隧道連接，應(yīng)當(dāng)避免將SSH客戶端放到后臺(tái)執(zhí)行描姚，也就是去掉-f參數(shù)涩赢。

保持長(zhǎng)時(shí)間連接

有些路由器會(huì)把長(zhǎng)時(shí)間沒(méi)有通信的連接斷開。SSH客戶端的TCPKeepAlive選項(xiàng)可以避免這個(gè)問(wèn)題的發(fā)生轩勘，默認(rèn)情況下它是被開啟的筒扒。如果它被關(guān)閉了，可以在ssh的命令上加上-o TCPKeepAlive=yes來(lái)開啟绊寻。

另一種方法是花墩，去掉-N參數(shù)悬秉，加入一個(gè)定期能產(chǎn)生輸出的命令。例如: top或者vmstat冰蘑。下面給出一個(gè)這種方法的例子：

ssh -R 2222:localhost:22 123.123.123.123 "vmstat 30" 

檢查隧道狀態(tài)

有些時(shí)候隧道會(huì)因?yàn)橐恍┰蛲ㄐ挪粫扯ㄋ篮兔冢纾河捎趥鬏敂?shù)據(jù)量太大，被路由器帶入stalled狀態(tài)祠肥。這種時(shí)候武氓，往往SSH客戶端并不退出，而是卡死在 那里仇箱。一種應(yīng)對(duì)方法是县恕，使用SSH客戶端的ServerAliveInterval和ServerAliveCountMax選項(xiàng)。 ServerAliveInterval會(huì)在隧道無(wú)通信后的一段設(shè)置好的時(shí)間后發(fā)送一個(gè)請(qǐng)求給服務(wù)器要求服務(wù)器響應(yīng)剂桥。如果服務(wù)器在 ServerAliveCountMax次請(qǐng)求后都沒(méi)能響應(yīng)忠烛，那么SSH客戶端就自動(dòng)斷開連接并退出，將控制權(quán)交給你的監(jiān)控程序权逗。這兩個(gè)選項(xiàng)的設(shè)置方法分 別是在ssh時(shí)加入-o ServerAliveInterval=n和-o ServerAliveCountMax=m美尸。其中n, m可以自行定義。

如何將端口綁定到外部地址上

使用上面的方法旬迹，映射的端口只能綁定在127.0.0.1這個(gè)接口上。也就是說(shuō)求类，只能被本機(jī)自己訪問(wèn)到奔垦。如何才能讓其他機(jī)器訪問(wèn)這個(gè)端口呢？我們可以把這個(gè) 映射的端口綁定在0.0.0.0的接口上尸疆，方法是加上參數(shù)-b 0.0.0.0椿猎。同時(shí)還需要打開SSH服務(wù)器端的一個(gè)選項(xiàng)－GatewayPorts。默認(rèn)情況下它應(yīng)當(dāng)是被打開的寿弱。如果被關(guān)閉的話犯眠，可以在/etc /sshd_config中修改GatewayPorts no為GatewayPorts yes來(lái)打開它。

如何尋找中間服務(wù)器

如果你家里使用ADSL上網(wǎng)症革，多半你會(huì)比較幸運(yùn)筐咧。一般的ADSL（例如 聯(lián)通 的ADSL）都是有互聯(lián)網(wǎng)地址的。你只需要在家里的路由器上一臺(tái)裝有OpenSSH server機(jī)器的SSH端口映射出去即可噪矛。同時(shí)一些提供SSH訪問(wèn)的虛擬主機(jī)也可以用于這一用途量蕊。例如： Hostmonser 或者 Dreamhost .

四、通過(guò)SSH隧道建立SOCKS服務(wù)器

如果我們需要借助一臺(tái)中間服務(wù)器訪問(wèn)很多資源艇挨，一個(gè)個(gè)映射顯然不是高明的辦法（事實(shí)上残炮，高明確實(shí)沒(méi)有用這個(gè)方法）。幸好缩滨，SSH客戶端為我們提供了通過(guò)SSH隧道建立SOCKS服務(wù)器的功能势就。

通過(guò)下面的命令我們可以建立一個(gè)通過(guò)123.123.123.123的SOCKS服務(wù)器泉瞻。

ssh -N -f -D 1080 123.123.123 # 將端口綁定在127.0.0.1上 ssh -N -f -D 0.0.0.0:1080 123.123.123.123 # 將端口綁定在0.0.0.0上

通過(guò)SSH建立的SOCKS服務(wù)器使用的是SOCKS5協(xié)議，在為應(yīng)用程序設(shè)置SOCKS代理的時(shí)候要特別注意苞冯。

五袖牙、總結(jié)

至 此，我們已經(jīng)對(duì)如何利用SSH隧道有一個(gè)基本的認(rèn)識(shí)了”辏現(xiàn)在贼陶，文章開始時(shí)的那些問(wèn)題應(yīng)該迎刃而解了吧。這里要特別說(shuō)一下巧娱，由于SSH隧道也使用了SSH加 密協(xié)議碉怔，因此是不會(huì)被防火墻上的內(nèi)容過(guò)濾器監(jiān)控到的。也就是說(shuō)一切在隧道中傳輸?shù)臄?shù)據(jù)都是被加密的禁添。當(dāng)然撮胧，離開隧道后的數(shù)據(jù)還是會(huì)保持自己原有的樣子，沒(méi) 有加密的數(shù)據(jù)還是會(huì)被后續(xù)的路由設(shè)備監(jiān)控到老翘。

PS:編者另注

在大多數(shù)情況下芹啥，我們建立ssh隧道的時(shí)候，往往是想通過(guò)一臺(tái)公網(wǎng)的主機(jī)或者是大家都可以訪問(wèn)的主機(jī)做跳轉(zhuǎn)機(jī)铺峭，來(lái)訪問(wèn)內(nèi)部或者外部不能直接訪問(wèn)的機(jī)器墓怀。所以一般像這種情況下，請(qǐng)將跳轉(zhuǎn)機(jī)中的ssh服務(wù)器中的GatewayPorts設(shè)為yes

1.建立本地的ssh隧道時(shí)卫键，可以指定本地主機(jī)的地址傀履，如下：

ssh -Nf -L 192.168.0.100:2121:234.234.234.234:21 123.123.123.123

那么本地局域網(wǎng)的任何機(jī)器訪問(wèn)192.168.0.100:2121都會(huì)自動(dòng)被映射到234.234.234.234:21

2.建立遠(yuǎn)程的ssh隧道時(shí)，可以指定公網(wǎng)的主機(jī)地址莉炉，不過(guò)一般情況是要訪問(wèn)內(nèi)網(wǎng)的主機(jī)钓账，所以這條命令應(yīng)該在任何一臺(tái)內(nèi)網(wǎng)主機(jī)上執(zhí)行，比如在192.168.0.102的主機(jī)上運(yùn)行：

ssh -Nf -R 123.123.123.123:2222:192.168.0.100:22 123.123.123.123

只要在局域網(wǎng)里192.168.0.102可以直接連接內(nèi)網(wǎng)主機(jī)192.168.0.100絮宁，且192.168.0.102可以直接與公網(wǎng)主機(jī)123.123.123.123建立ssh連接梆暮。那么任何外網(wǎng)主機(jī)通過(guò)訪問(wèn)公網(wǎng)主機(jī)123.123.123.123:2222就會(huì)被連接到192.168.0.100:22，從而可以完成外網(wǎng)穿越NAT到內(nèi)網(wǎng)的訪問(wèn)绍昂，而不需要在內(nèi)網(wǎng)網(wǎng)關(guān)和路由器上做任何操作啦粹。

另外，你也可以通過(guò)Xshell窘游、Putty等工具來(lái)實(shí)現(xiàn)linux主機(jī)與本地windows的端口轉(zhuǎn)發(fā)卖陵、socket代理，還有一些像ProxyChains 工具的使用张峰。

推薦鏈接：

通過(guò)ssh開啟代理[1]xshell開socket代理：http://jingyan.baidu.com/article/3052f5a1b4dc2797f21f866d.html

通過(guò)ssh開啟代理[2]xshell進(jìn)行端口轉(zhuǎn)發(fā)：http://jingyan.baidu.com/article/09ea3ededbb6b6c0aede39d2.html

通過(guò)ssh tunnel訪問(wèn)內(nèi)網(wǎng)Subversion：http://crazycode.iteye.com/blog/568754

Xshell通過(guò)SSH密鑰泪蔫、SSH代理連接Linux服務(wù)器詳解：http://hi.baidu.com/kdsex/item/40205cc30a84d052ac00ef56