ssh端口转发

原创 已于 2025-01-06 11:26:36 修改 · 5.4k 阅读 · 12 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#ssh #linux #autossh

于 2022-12-21 18:36:25 首次发布
部署运行你感兴趣的模型镜像

ssh端口转发

前置条件:调整sshd服务端配置

SSH 仅支持TCP端口映射!
调整/etc/ssh/sshd_config配置,让ssh转发效率更好。

# 查看sshd_config的以下配置是否启用
# 查看TCPKeepAlive|AllowTCPForwarding|PermitOpen|GatewayPorts的配置
grep -Ei 'TCPKeepAlive|AllowTCPForwarding|PermitOpen|PermitTunnel|GatewayPorts' /etc/ssh/sshd_config

# Linux默认是不会启用这些配置的

在这里插入图片描述


开启AllowTcpForwarding和GatewayPorts

ssh-host机器的sshd_config里要打开AllowTcpForwarding选项,否则-R远程端口转发会失败

如要绑定0.0.0.0需要打开sshd_config里的GatewayPorts选项,否则只能绑定到 127.0.0.1 .

# 确保前4个参数配置正确
# 允许TCP转发
AllowTCPForwarding yes

# 允许sshd将远程端口转发绑定到非loopback地址
GatewayPorts yes

# PermitOpen 参数来限制允许转发到哪些目标地址和端口
# PermitOpen host:port,host1:port1
# 重点配置,允许转发所有
PermitOpen any

# 允许通过SSH连接隧道
## yes:允许任何类型的隧道。
## point-to-point:只允许建立点对点(Point-to-Point,简称 P2P)隧道。
## ethernet:只允许建立以太网(Ethernet)隧道。
## no:不允许建立任何类型的隧道。
PermitTunnel yes

# TCP保活
TCPKeepAlive yes

在这里插入图片描述


内核参数优化

https://blog.youkuaiyun.com/omaidb/article/details/122719243


调整ssh客户端配置~/.ssh/config必须

参考:https://www.nixcraft.com/t/channel-1-open-failed-administratively-prohibited-open-failed-with-ssh-tunneling/3773/2
参考: https://blog.tizen.moe/entry/2019/10/12/000000

解决的问题:
sshd服务端机器上会一直提示open failed: connect failed: Connection timed out;
channel 11: open failed: administratively prohibited: open failed

# 配置ssh客户端配置
vim ~/.ssh/config

# 将日志级别设置为: QUIET
LogLevel QUIET

在这里插入图片描述


Autossh建立稳定隧道

项目地址:https://www.harding.motd.ca/autossh/
https://www.51cto.com/article/661059.html

使用autossh命令的优点是后台运行,ssh连接中断后会自动恢复ssh隧道。


安装AutoSSH

Clientsshd的机器要配置ssh免密

# Centos7安装 AutoSSH
yum install -y autossh

# macos安装AutoSSH
brew install autossh

# 查看autossh版本
autossh -V

在这里插入图片描述
在这里插入图片描述


AutoSSH常用参数解释

官方文档:https://www.harding.motd.ca/autossh/README.txt

https://www.escapelife.site/posts/e6647650.html

https://www.yuque.com/listenstar/ygqknt/go0939

AutoSSH只有三个自己的参数:

参数解释
-M-M port[:echo_port] ;指定要使用的监控端口和echo的端口,用于自动重连
-f使autossh在运行ssh之前进入后台。和ssh的-f冲突,使用此参数需要先配置好公钥登录
-V查看版本号
其余参数其余参数使用的是ssh参数

SSH常用参数

https://segmentfault.com/a/1190000021888536
https://www.linuxcool.com/ssh
https://wangchujiang.com/linux-command/c/ssh.html

参数含义说明
-1强制使用ssh协议版本1
-2强制使用ssh协议版本2
-4强制使用IPv4地址
-6强制使用IPv6地址
-A开启认证代理连接转发功能
-a关闭认证代理连接转发功能
-b使用本机指定地址作为对应连接的源ip地址
-C请求压缩所有数据
-c选择所加密的密码型式 (blowfish
-e设定跳脱字符
-F指定ssh指令的配置文件
-f后台运行ssh
-g允许远程主机连接主机的转发端口
-i指定密钥对身份文件(预设是在使用者的家目录 中的 .ssh/identity)
-l指定连接远程服务器登录用户名
-N不执行远程指令
-n重定向stdin 到 /dev/null;(要配合 -f 参数使用)
-o指定配置选项
-p指定远程服务器上的端口(默认22)
-P使用非特定的 port 去对外联机(注意这个选项会关掉 RhostsAuthenticationRhostsRSAAuthentication
-q安静模式运行;忽略提示和错误
-T不占用shell终端,禁止分配pseudo-tty(伪终端)
-t强制配置pseudo-tty(伪终端)
-v打印更详细信息
-X开启X11转发功能
-x关闭X11转发功能
-y开启信任X11转发功能
-Llisten-port:host:port
指派本地的 port 转发到服务器上的 port;
建立本地SSH隧道(本地客户端建立监听端口);
将本地机(客户机)的某个端口转发到远端指定机器的指定端口.
-Rlisten-port:host:port
远程机器上的 port 转发到指定IP的port;
建立远程SSH隧道(隧道服务端建立监听端口);
将远程主机(服务器)的某个端口转发到本地端指定机器的指定端口.
-Dport 指定一个本地机器 “动态的’’ 应用程序端口转发.


3种转发方式的区别

https://jeremyxu2010.github.io/2018/12/ssh的三种端口转发/

# 综合示例:转发多个端口
Host vm
	User root
	# User bai
	Hostname 181.220.x.x
	# 将vm中的127.0.0.1:1081转发到localhost的30081
	LocalForward localhost:30081 127.0.0.1:1081
	# 本地开放一个30082端口
	DynamicForward 127.0.0.1:30082

动态端口转发

https://www.ronpad.com/docs/ssh/port-forwarding-2.html


命令行动态端口转发

# 转发socks5到本地端口13459
ssh -D 10421 -N -f -C -q username@hostip
# ssh -D 127.0.0.1:10421 -N -f -C -q username@hostip
## -D socket5代理,动态端口转发
## -N 不执行远程脚本或命令,,用于端口转发,通常与-f连用。
## -f 输入密码后进入后台模式,后台认证用户/密码,通常和-N连用,不用登录到远程主机。
## -C 使用数据压缩,网速快时会影响速度
## -q :安静模式,不输出 错误/警告 信息

# 其他参数
## -L tcp转发,本地端口:目标IP:目标端口
## -g :在-L/-R/-D参数中,允许远程主机连到建立的转发的端口,如果不加这个参数,只允许本地主机建立连接。
## -R : 远程端口转发
## -T :不分配 TTY 只做代理用

# 关闭提示 -o
ssh -o 'GatewayPorts yes' -D 0.0.0.0:13659  -N -C -f -q root@localhost

关闭错误提示,参考地址 https://qastack.cn/server/480208/strange-output-on-ssh-tunneling-output-failed-connect-failed-connection-timed


ssh_config动态端口转发

参考文档: 动态转发开发文档

Host ssh-host
	user admin
	Hostname 114.114.114.114
	Port 2222
	# 私钥文件
	identityfile ~/.ssh/id_rsa_dns
	# 为本地暴露一个socks端口10421 
	# DynamicForward localhost-ip:local-port 
	DynamicForward 127.0.0.1:10421

在本地暴露一个ssh的动态端口–D

https://www.ronpad.com/docs/ssh/port-forwarding-2.html

-D [本地主机:]本地主机端口

# 开启一个本地socks端口
## -M 监控端口:[echo端口],请在服务器上将 监控端口 和 监控端口+1 开放
## -f 使autossh在运行ssh之前进入后台。

# ssh参数
## -C 使用数据压缩
## -N 只连接远程主机,不打开远程shell(不需执行指令,只作端口转发)
## -T: 不分配伪终端 tty

# 转发命令
## -D 本地暴露一个socks5
## -g: 允许代理服务器连接到本地转发端口(谨慎使用)
# autossh -M 5678:5679 -f -CNT -D localhost:1080 hk
autossh -M 5678:5679 -f -CNT -D localhost:1080 ssh-host

本地转发

https://www.ronpad.com/docs/ssh/port-forwarding-3.html

Host ssh_host
	user admin
	Hostname 114.114.114.114
	Port 2222
	# 私钥文件
	identityfile ~/.ssh/id_rsa_dns
	# LocalForward [bind_address:]port remotehost:hostport
	# LocalForward client-IP:client-port server-IP:server-port
	# 将baidu.com:80端口转发到本地80端口
	## 访问localhost:80会通过sshd转发数据到:80
	LocalForward localhost:10421 ${EdgeNodeSSHserverIP}:8000

下图示范用WindTerm本地转发
在这里插入图片描述


测试服务可达性
# 这条命令相当于使用 ${ssh_host} 去访问https://${EdgeNodeSSHserverIP}:8000
## -x socks5h://localhost:10421: 使用 SOCKS5 代理。socks5h 表示通过 SOCKS5 代理进行主机名解析,localhost:30001 是代理服务器的地址。
## -v: 启用详细模式,显示请求和响应的详细信息。
## -k: 跳过 SSL 证书验证。这在访问 HTTPS 服务器时很有用,即使证书无效也会继续请求。
## -X GET: 指定 HTTP 请求方法为 GET。
curl -x socks5h://localhost:10421 -v -k -X GET https://${EdgeNodeSSHserverIP}:8000

将远程端口映射为本地端口上–L

https://www.ronpad.com/docs/ssh/port-forwarding-3.html
-L 参数:将本地主机端口通过ssh-host主机端口转发到目标主机端口上去。
效果:通过本地主机端口可以访问到目标ssh主机上的指定端口

-L [本地主机:]本地主机端口:目标主机:目标主机端口

# 将本地端口映射到远程主机上
## -M 监控端口:[echo端口],请在服务器上将 监控端口 和 监控端口+1 开放
## -f 使autossh在运行ssh之前进入后台。

# ssh参数
## -C 使用数据压缩
## -N 只连接远程主机,不打开远程shell(不需执行指令,只作端口转发)
## -T: 不分配伪终端 tty

# 转发命令
## -L 将`本地主机端口`通过`ssh-host主机端口`转发到`目标主机端口`上
## -g: 允许代理服务器连接到本地转发端口(谨慎使用)
autossh -M 5678:5679 -f -CNT -L localhost:3306:mysql:3306 ssh-host

远程转发

https://www.ronpad.com/docs/ssh/port-forwarding-4.html

!!!注意,本配置的原理,不是在ssh_client机执行转发的,而是在ssh-server机执行转发的。

远程转发作用:将ssh-host主机端口通过本地主机转发到目标主机上。本机的作用象一个转发器,本地暴露端口。

效果:通过ssh-host1主机端口可以访问到目标主机的端口

远程转发用的很少,不如直接在ssh-host1上安装个转发工具好用。

Host ssh_server_1
	user root
	Hostname ${ssh_server_1_ip}
	Port 2222
	# 私钥文件
	identityfile ~/.ssh/id_rsa_mysql
	RemoteForward ${ssh_server_1_ip}:3306 ${mysql-server_ip}:3306

然后,通过${ssh_server_1_ip}:3306,就可以访问到${mysql-server_ip}:3306


将远程端口映射到目标主机上–R

https://www.ronpad.com/docs/ssh/port-forwarding-4.html
-R 参数:将ssh_server主机上的机指定端口通过本地主机转发到目标主机上。
-R模式:本地机器的作用象一个转发器,本地暴露端口。
效果:通过访问ssh_server主机上的机指定端口可以访问到目标主机端口

在这里插入图片描述
-R ssh-host主机端口:目标主机:目标主机端口

ssh-host机器的sshd_config里要打开AllowTcpForwarding选项,否则-R远程端口转发会失败
如要绑定0.0.0.0需要打开sshd_config里的GatewayPorts选项。

# 开启一个本地socks端口
## -M 监控端口:[echo端口],请在服务器上将 监控端口 和 监控端口+1 开放
## -f 后台运行autossh

# ssh参数
## -C 使用数据压缩
## -N 只连接远程主机,不打开远程shell(不需执行指令,只作端口转发)
## -T: 不分配伪终端 tty

# 转发命令
## -R 将`ssh-host主机端口`通过`host1主机端口`转发到`目标主机`上
## -g: 允许代理服务器连接到本地转发端口(谨慎使用)
autossh -M 5678:5679 -f -CNT -R ${ssh_server_ip}:1080:host2:1081 ssh-host

您可能感兴趣的与本文相关的镜像

GPT-oss:20b

GPT-oss:20b

图文对话
Gpt-oss

GPT OSS 是OpenAI 推出的重量级开放模型,面向强推理、智能体任务以及多样化开发场景

[隧道代理] 隧道代理 — 端口转发 - SSH 端口转发
Blue17 の 小窝
02-11 2580
SSH(Secure Shell)是一种加密的网络协议,用于在不安全的网络中安全地执行远程登录、命令执行和文件传输等操作。SSH 工具是用于实现 SSH 协议的客户端或服务端软件,SSH 工具可以对客户端和服务端之间的数据传输进行压缩和加密,有身份验证、SCP、SFTP 和端口转发等功能。参数含义-C请求压缩所有数据-D动态转发、即 Socks 代理-f后台执行 SSH 命令-g允许远程主机连接主机的转发端口-L本地转发-N不执行远程指令,处于等待状态-R远程转发
SSH端口转发
blog
06-29 1071
动态转发,本地转发,远端转发。以下是“SSH内穿模拟”测试场景网络拓扑图。
SSH 端口转发玩转
热门推荐
zhouguoqionghai的博客
08-20 3万+
ssh 端口转发需要配置 /etc/ssh/sshd_config 中tcp转发选项为开启: AllowTcpForwarding yes 默认是开启被注释掉的,可以去掉注释保存之后重启 sshd 服务。service sshd restart (systemctl restart sshd). 否则,来连接时,会出现 channel 3: open failed: administrat...
Centos 7 SSH服务安全加固
Wizard_1的博客
11-04 2259
加固centos 7的SSH安全防护
ssh配置GatewayPorts yes
最新发布
leijmdas的专栏
11-09 391
SSH服务器上配置可允许远程端口转发端口绑定在所有网络接口上,使外部机器能够访问。
SSHD远程端口转发的配置经验小结
盒子爸爸
01-12 1698
1、SSHD的配置文件/etc/ssh/sshd_config中需要的配置项(前者必须有,后者建议有,否则无法接入外部的IP地址) AllowTcpForwarding yes GatewayPorts yes 2、打开系统端口转发能力 net.ipv4.ip_forward = 1 3、特别注意在一些SSH客户端可能会设置过滤器(例如我使用的SecureCRT的配置文件中就有) S:"Port Forward Filter"=allow,0.0.0.0/0.0.0.0,0 S:"Rever
AutoSSH建立SSH隧道,实现内网端口转发
运维密码
03-30 706
简介 在早期互联网使用当中,都是使用明文进行通信的,一旦消息被截获,内容就暴露无疑。1995年,芬兰学者Tatu Ylonen设计了SSH协议,将登录信息全部加密,成为互联网安全的一个基本解决方案,迅速在全世界获得推广,目前已经成为Linux系统的标准配置。 SSH之所以能够保证安全,原因在于它采用了公钥加密。需要指出的是,SSH只是一种协议,存在多种实现,既有...
SSH 端口转发
weixin_34413065的博客
09-12 183
SSH 端口转发功能能够将其他 TCP 端口的网络数据通过 SSH 链接来转发,并且自动提供了相应的加密及解密服务。其实这一技术就是我们常常听说的隧道(tunnel)技术,原因是 SSH 为其他 TCP 链接提供了一个安全的通道来进行传输。我们知道,FTP 协议是以明文来传递数据的。但是我们可以让 FTP 客户端和服务器通过 SSH 隧道传输数据,从而实现安全的 FTP 数据传输。更常见的情况是我...
SSH隧道:远程操作与端口转发
Just for fun
03-21 3492
SSH隧道
精选资源
SSH端口转发,本地端口转发,远程端口转发,动态端口转发详解
01-10
第一部分 SSH端口转发概述 当你在咖啡馆享受免费 WiFi 的时候,有没有想到可能有人正在窃取你的密码及隐私信息?当你发现实验室的防火墙阻止了你的网络应用端口,是不是有苦难言?来看看 SSH端口转发功能能给...
mogura:ssh端口转发工具
03-25
Mogura是通过SSH端口转发通过网络连接到微服务的代理。 当前,仅支持MacOS并具有alpha开发状态。 用例 您正在开发需要连接到其他一些微服务的微服务。 但是,所有其他微服务都无法在本地现实中使用。 然后通过VPN或...
实战 SSH 端口转发
weixin_33698823的博客
03-02 711
...
SSH配置端口转发(也叫做隧道转发
qq_51688785的博客
01-12 1536
SSH(Secure Shell)是一种加密网络协议,用于在不安全的网络上安全地传输数据。它提供了一个安全的远程访问解决方案,可以通过SSH客户端和SSH服务器之间的加密连接来保护远程会话中传输的数据。
ssh 端口转发
god_wen的博客
07-01 485
让你完全搞懂ssh端口转发。图文并茂,受益匪浅。 在local_server上开启本地转发模式之后。ssh_server就会出现2端的TCP链接。然后所有发向9527端口TCP数据会被ssh_server 转发到目标机器的23端口上。整个过程对于用户来说是透明的。就相当于9527和23直接进行TCP链接。本地转发的精髓在于一开始组网的时候local_server-》ssh_server -》remote_server_ip 这条单向流量是可以导通的,没有防火墙的阻挡的。不然只能gg。
ollama ssh端口转发
03-21
### Ollama SSH 端口转发配置指南 Ollama 是一种用于管理大型语言模型的工具,但它本身并不直接提供 SSH 功能。然而,可以通过标准的 OpenSSH 配置实现端口转发功能,并将其集成到涉及 Ollama 的工作流中。 以下是关于如何通过 SSH 进行端口转发的相关说明: #### 本地端口转发 当需要将远程服务器上的某个服务暴露给本地计算机时,可以使用以下命令设置本地端口转发: ```bash ssh -L <local_port>:<destination_host>:<destination_port> user@remote_server ``` 在此场景下,`<local_port>` 表示本地监听的端口号,`<destination_host>` 和 `<destination_port>` 则表示目标主机及其开放的服务端口[^2]。 例如,如果希望将运行在 `10.2.2.9` 上的 MySQL 数据库(默认端口为 3306)映射到本地机器上,则可执行如下命令: ```bash ssh -L 3307:10.2.2.9:3306 user@ssh_gateway ``` 这样,在本地访问 `localhost:3307` 就相当于连接到了 `10.2.2.9:3306`。 #### 远程端口转发 对于某些情况下可能需要让外部网络能够访问本机的一个特定服务的情况,可以采用远程端口转发的方式完成此操作: ```bash ssh -R <remote_port>:<source_host>:<source_port> user@remote_server ``` 这里 `<remote_port>` 定义的是远端要绑定的端口;而 `<source_host>` 及其对应的 `<source_port>` 指定源地址和服务端口[^1]。 假设有一款仅限局域网内部使用的 Web 应用程序正在 localhost 的 8080 端口上运行,那么为了让其他同事也能看到这个页面,就可以这样做: ```bash ssh -R 8081:127.0.0.1:8080 colleague@example.com ``` 此时任何向 `colleague.example.com:8081` 发起请求的操作都会被重定向至发起者的个人电脑并返回相应数据。 #### 多节点环境下的无密码 SSH 设置 在一个多节点环境中,为了简化跨节点间通信流程以及提高效率,通常建议预先建立好免密登录机制以便后续自动化脚本调用更加顺畅[^3]。具体做法包括但不限于交换公钥文件等内容。 首先确认当前用户的 .ssh 文件夹是否存在 id_rsa.pub 类型的公开密钥材料,如果没有则先创建一对新的 RSA 密码对儿: ```bash ssh-keygen -t rsa -b 4096 -C "your_email@example.com" ``` 接着把生成出来的 public key 添加进每一个目标设备中的 authorized_keys 文档里头去: ```bash cat ~/.ssh/id_rsa.pub | ssh user@target_node 'mkdir -p ~/.ssh && cat >> ~/.ssh/authorized_keys' ``` 最后测试一下能否成功达成无需输入额外验证信息即可顺利完成整个链接过程的效果: ```bash ssh target_node ``` 如果一切正常的话应该可以直接跳转过去而不必再手动填写账号密码之类的信息了。 ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

教Linux的李老师

赞赏是第一生产力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值