SSH端口转发

本文详细介绍了SSH端口转发的三种方式:本地转发、远程转发和动态转发,以及如何配置sshd服务和进行端口转发的实践操作。通过具体实例,讲解了如何利用SSH在不同场景下实现内外网之间的安全数据传输。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在测试时关闭防火墙,测试通过在开通防火墙,避免误导测试结果

1# 修改sshd配置文件

vim /etc/ssh/sshd_config

配置下面三项,去掉#注释,并设置yes

AllowAgentForwarding yes
AllowTcpForwarding yes
GatewayPorts yes

重启启动sshd,重启后退出xshell重新连接

service sshd restart

 

2# 本地转发

本地转发命令格式: {ssh client}# ssh -g -N -f -o ServerAliveInterval=60-L <local port>:<remote host>:<remote port> username@<ssh server>

本地转发是在ssh-client端建立侦听端口(5555),访问ssh-client的侦听端口(5555)将tcp数据包通过ssh隧道发往ssh-server端,ssh-server端收到tcp数据包后,再与指定的IP端口建立新的tcp连接(192.168.1.111:80)并转发数据。

 

命令示例:ssh -g -L 5555:192.168.1.111:80 root@192.168.1.159

命令解释:-L 本地转发, -g  不加-g 则只能再(192.168.80.126)本机进行访问,也就是通过localhost或127.0.0.1访问,加-g 则可以通过192.168.80.126的IP地址访问,这样其它机器也可以通过访问192.168.80.126来访问。

在192.168.80.126这台机器上(ssh-client)侦听5555端口,设置ssh-server讲tcp数据包转发到192.168.1.111:80端口。

 

3# 远程转发

远程转发命令格式: {ssh client}# ssh -g -N -f -o ServerAliveInterval=60 -R <local port>:<remote host>:<remote port> username@<ssh server>

 

 

远程转发是在ssh-server端建立侦听端口(80),访问80端口的tcp数据包通过ssh隧道 由ssh-server发往ssh-client,

ssh-client端收到数据包后,再与指定的地址(192.168.80.111:80)建立新的连接转发数据包。

命令示例:ssh -R 9999:192.168.80.111:80 root@192.168.1.159

命令解释:-R 远程转发

 


#其它参数解释

注1:如果以上命令不加”-g”选项,那么SSH Client上的监听端口2323会绑定在127.0.0.1上,意味着只有SSH Client自己才能连上。加上”-g”选项之后,SSH Client才允许网络上其他机器连接2323端口。

注2:以上命令会生成一个shell,有时候并不符合我们的需要,因为多数时候我们只想要一个端口转发功能,挂一个shell是个累赘,而且shell一退出,端口转发也停了。这就是为什么我们需要”-N -f”选项的原因:-N 告诉ssh client,这个连接不需要执行任何命令,仅做端口转发-f 告诉ssh client在后台运行

注3:为了避免长时间空闲导致ssh连接被断开,我们可以加上”-o ServerAliveInterval=60″选项,每60秒向ssh server发送心跳信号。还有一个TCPKeepAlive选项的作用是类似的,但是不如ServerAliveInterval 好,因为TCPKeepAlive在TCP层工作,发送空的TCP ACK packet,有可能会被防火墙丢弃;而ServerAliveInterval 在SSH层工作,发送真正的数据包,更可靠些。

注4:如果不是以root身份设置端口转发的话,转发端口只能使用大于1024的端口号。

 

利用xshell进行内网访问

外网linux服务器有固定ip,公司内网没有固定ip,通过路由器上外网。

GatewayPorts yes

类型方向截图不对(应该转入),注意:如果用户已非root登录,则不能用1000以内保护端口

 

参考

http://hetaoo.iteye.com/blog/2299123

http://blog.youkuaiyun.com/a351945755/article/details/21785647

http://www.freeoa.net/osuport/sysadmin/the-three-port-forwarding-on-xshell_1888.html

http://www.linuxidc.com/Linux/2016-01/127868.htm

### Ollama SSH 端口转发配置指南 Ollama 是一种用于管理大型语言模型的工具,但它本身并不直接提供 SSH 功能。然而,可以通过标准的 OpenSSH 配置实现端口转发功能,并将其集成到涉及 Ollama 的工作流中。 以下是关于如何通过 SSH 进行端口转发的相关说明: #### 本地端口转发 当需要将远程服务器上的某个服务暴露给本地计算机时,可以使用以下命令设置本地端口转发: ```bash ssh -L <local_port>:<destination_host>:<destination_port> user@remote_server ``` 在此场景下,`<local_port>` 表示本地监听的端口号,`<destination_host>` 和 `<destination_port>` 则表示目标主机及其开放的服务端口[^2]。 例如,如果希望将运行在 `10.2.2.9` 上的 MySQL 数据库(默认端口为 3306)映射到本地机器上,则可执行如下命令: ```bash ssh -L 3307:10.2.2.9:3306 user@ssh_gateway ``` 这样,在本地访问 `localhost:3307` 就相当于连接到了 `10.2.2.9:3306`。 #### 远程端口转发 对于某些情况下可能需要让外部网络能够访问本机的一个特定服务的情况,可以采用远程端口转发的方式完成此操作: ```bash ssh -R <remote_port>:<source_host>:<source_port> user@remote_server ``` 这里 `<remote_port>` 定义的是远端要绑定的端口;而 `<source_host>` 及其对应的 `<source_port>` 指定源地址和服务端口[^1]。 假设有一款仅限局域网内部使用的 Web 应用程序正在 localhost 的 8080 端口上运行,那么为了让其他同事也能看到这个页面,就可以这样做: ```bash ssh -R 8081:127.0.0.1:8080 colleague@example.com ``` 此时任何向 `colleague.example.com:8081` 发起请求的操作都会被重定向至发起者的个人电脑并返回相应数据。 #### 多节点环境下的无密码 SSH 设置 在一个多节点环境中,为了简化跨节点间通信流程以及提高效率,通常建议预先建立好免密登录机制以便后续自动化脚本调用更加顺畅[^3]。具体做法包括但不限于交换公钥文件等内容。 首先确认当前用户的 .ssh 文件夹是否存在 id_rsa.pub 类型的公开密钥材料,如果没有则先创建一对新的 RSA 密码对儿: ```bash ssh-keygen -t rsa -b 4096 -C "your_email@example.com" ``` 接着把生成出来的 public key 添加进每一个目标设备中的 authorized_keys 文档里头去: ```bash cat ~/.ssh/id_rsa.pub | ssh user@target_node 'mkdir -p ~/.ssh && cat >> ~/.ssh/authorized_keys' ``` 最后测试一下能否成功达成无需输入额外验证信息即可顺利完成整个链接过程的效果: ```bash ssh target_node ``` 如果一切正常的话应该可以直接跳转过去而不必再手动填写账号密码之类的信息了。 ---
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值