ssh端口转发

最新推荐文章于 2025-01-17 00:32:29 发布
最新推荐文章于 2025-01-17 00:32:29 发布
阅读量382 收藏
点赞数
分类专栏: linux-加密与安全 linux-网络 文章标签: ssh 端口转发 ssh--L 网络 解密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/tete2csdn/article/details/78124768
版权

一、ssh总结(思维导图)

这里写图片描述

SSH端口转发
  解释
    SSH 会自动加密和解密所有 SSH 客户端与服务端之间的网络数据。
    但是,SSH 还能够将其他 TCP 端口的网络数据通过 SSH 链接来转发
    ,并且自动提供了相应的加密及解密服务。这一过程也被叫做“隧道”
    (tunneling),这是因为 SSH 为其他 TCP 链接提供了一个安全的通
    道来进行传输而得名。例如,Telnet,SMTP,LDAP 这些 TCP 应用均
    能够从中得益,避免了用户名,密码以及隐私信息的明文传输。而与此
    同时,如果工作环境中的防火墙限制了一些网络端口的使用,但是允许
    SSH 的连接,也能够通过将 TCP 端口转发来使用 SSH 进行通讯
  SSH 端口转发能够提供两大功能:
    • 加密 SSH Client 端至 SSH Server 端之间的通讯数据
    • 突破防火墙的限制完成一些之前无法建立的 TCP 连接
  应用
    选项:
      -f 后台启用
      -N 不打开远程shell,处于等待状态
      -g 启用网关功能
      -L  本地转发
      -R 远程转发
      -D  动态端口转发
      -X   X协议转发
    本地转发:
    远程转发: 
    动态端口转发:
    X 协议转发

1.端口转发——本地转发

这里写图片描述

本地转发:
  -L localport:remotehost:remotehostport sshserver
    外部为客户端,内部为服务端;必须打开防火墙的ssh端口
  示例
    sshL 9527:telnetsrv:23 -N sshsrv
    telnet 127.0.0.1 9527
  解释:
    当访问本机的9527的端口时,被加密后转发到sshsrvssh服务,再解密被转发到telnetsrv:23
  数据流向
    data  <---> localhost:9527  <---> localhost:XXXXX <---> sshsrv:22  <---> sshsrv:YYYYY  <---> telnetsrv:23

2.端口转发——远程转发

这里写图片描述

远程转发: 
  -R sshserverport:remotehost:remotehostport sshserver
    防火墙内部是客户端,外部是服务端;
    防火墙策略(可以出,不可近)不必进行更改
    ·  命令在内部的ssh主机上敲
  示例:
    sshR 9527:telnetsrv:23N sshsrvsshsrv侦听9527端口的访问,如有访问,就加密后通过ssh
  解释:
    服务转发请求到本机ssh客户端,再由本机解密后转发到telnetsrv:23
  数据流向:
    Data <---> sshsrv:9527  <---> sshsrv:22  <---> localhost:XXXXX  <---> localhost:YYYYY  <--->  telnetsrv:23

3.端口转发——动态端口转发&X协议转发

这里写图片描述
动态端口转发

动态端口转发:
  当用firefox访问internet时,本机的1080端口做为代理服务器, firefox的访问请求被转发到sshserver上,由sshserver替之访问internet
  在本机firefox设置代理socket proxy:127.0.0.1:1080
  ssh -D 1080 root@sshserver

X协议转发

X 协议转发
  所有图形化应用程序都是X客户程序
    • 能够通过tcp/ip连接远程X服务器
    • 数据没有加密机,但是它通过ssh连接隧道安全进行
  ssh -X user@remotehost gedit
    remotehost主机上的gedit工具,将会显示在本机的X服务器上
    传输的数据将通过ssh连接加密
  注意:
    c/s和ssh的c/s相反

二、实验——本地转发

1.前提:

主机 A和B可相互通过ssh服务访问,B和C可相互通过telnet访问;但是 A 不可以访问C

2.实现方式:

A使用B当作跳板,访问C(安全访问)
    A--B 走ssh协议,在ssh协议内封装telnet协议
    B--C 走telnet协议,B替A访问

3.准备

将A的ip地址加入C的防火墙策略

 iptables  -A INPUT -s 172.17.0.116  -j   REJECT

这里写图片描述
这里写图片描述

4.实验

开启C的telnet服务

#在Centos7上
 systemctl -l status telnet.socket 
在centos6上
    1.先开启 xinet服务
            service xinetd start
    2.再修改/etc/xinetd.d/telnet
            distable yes 改为no
    3.chkconfig telnet on

在A主机上

#访问9527 端口时:去访问172.17.16.2的23端口;通过与172.17.1.116的隧道
 ssh -L 9527:172.17.16.2:23 -fN 172.17.1.116
#访问自己的9527端口
 telnet 127.0.0.1 9527

三、实验——远程转发

前提

A ——>防火墙 | B<–> C

A 主机在防火墙外;B C在防火墙内;A不能通过22端口穿过防火墙
    防火墙关闭22端口

思路:

B访问A ,建立隧道;B作为ssh客户端,A作为ssh服务端

实验

在B主机
# 建立与172.17.0.116之间的隧道;转发172.17.0.116 的9527 到 172.17.16.2的23端口
ssh -R 9527:172.17.16.2:23  -fN 172.17.0.116
在A主机
telnet 127.0.0.1 9527

这里写图片描述
这里写图片描述

四、实验——动态转发

A不能访问C(或者其他地址例如谷歌) ;可以使用B做代理;去访问不能访问的目标
这里写图片描述
这里写图片描述

实验

在A上
#访问本机的1080时,是使用172.17.1.116做代理
ssh -D 1080 -fN 172.17.1.116  
#通过本机的socks5(1080端口) ;访问172.17.0.116
curl  --socks5 127.0.0.1 172.17.0.116

这里写图片描述

[隧道代理] 隧道代理 — 端口转发 - SSH 端口转发
Blue17 の 小窝
02-11 2147
SSH(Secure Shell)是一种加密的网络协议,用于在不安全的网络中安全地执行远程登录、命令执行和文件传输等操作。SSH 工具是用于实现 SSH 协议的客户端或服务端软件,SSH 工具可以对客户端和服务端之间的数据传输进行压缩和加密,有身份验证、SCP、SFTP 和端口转发等功能。参数含义-C请求压缩所有数据-D动态转发、即 Socks 代理-f后台执行 SSH 命令-g允许远程主机连接主机的转发端口-L本地转发-N不执行远程指令,处于等待状态-R远程转发
加密访问利器:配置基于SSH的动态端口转发
Mark的博客
03-13 2954
通过SSH使用SOCKS进行动态端口转发,可能是连接到远程主机的最简单,最便宜的安全方法。 注意,是连接到远程主机的办法。如果没有没有长城之外的远程主机,就没有办法叫做大杀器了。 此方法允许客户端计算机上的应用程序向本地端口发出请求,然后将请求转发到远程主机,远程主机处理请求并将数据返回给客户端。本地有一个SOCKS服务器,它首先处理请求,然后将它们加密转发到远程计算机。 在有条件的情况下,基于S...
ssh -D 选项用于动态(Dynamic)端口转发
lstef的博客
07-15 2471
D 支持 SOCKS5 协议,可以同时转发 TCP 和 UDP 报文假设拥有三台主机,具体环境如下:1. 主机 A:本地主机,即 SSH 客户 所在的主机,IP:192.168.0.1002. 主机 B:远程主机,即 SSH 服务 所在的主机,IP:134.201.250.1003. 主机 C:想要访问的目的主机,提供了web服务,IP:192.168.1.111AB互通,BC互通,AC不通(举例环境,A是家里内网地址,B是有公网IP的公司主机,C是公司局域网地址)关于-D选项的作用。
SSH 动态转发
AaronLuo
03-01 1893
SSH动态转发ssh 创建一个 socks v5 的服务并在 bind_address:bind_port 上侦听,当收到数据后,解析出需要连接的主机和端口并通道加密通道发送给 sshd,sshd 转发数据后并返回结果数据。 SSH动态转发就是SSH服务器使用的是正向匿名代理的作用,由内部机器将数据包通过socks发送到绑定端口,再通过sshd服务去请求目标服务。 ssh的动态转发在流量侧是加密流量,非常适用于外网拿下一台具有访问内网的机器之后,进行代理,攻击内网机器(前提是控制住一台Linux主机)
ssh 端口转发
jsd2root的博客
06-09 652
1.1 ssh安全隧道(一):本地端口转发 如下图,假如host3和host1、host2都同互相通信,但是host1和host2之间不能通信,如何从host1连接上host2? 对于实现ssh连接来说,实现方式很简单,从host1 ssh到host3,再ssh到host2,也就是将host3作为跳板的方式。但是如果不是ssh,而是http的80端口呢?如何让host1能访问host2的80端口ssh支持本地端口转发,语法格式为: ssh -L [local_bind_addr:]local_port
SSH 端口转发
nightbird-jp的博客
08-14 9438
SSH端口转发SSH隧道(tunnel),本地端口转发,本地隧道,-L参数,远程端口转发,远程隧道,-R参数,动态端口转发,动态代理,-D参数,多级端口转发,二级端口转发,加密访问邮件服务器,不加密的数据放在 SSH 安全连接里面传输,为Telnet、FTP 等明文服务提供安全保障,-N参数......
SSH端口转发,本地端口转发,远程端口转发,动态端口转发详解
01-10
第一部分 SSH端口转发概述 当你在咖啡馆享受免费 WiFi 的时候,有没有想到可能有人正在窃取你的密码及隐私信息?当你发现实验室的防火墙阻止了你的网络应用端口,是不是有苦难言?来看看 SSH端口转发功能能给...
深入理解 SSH 端口转发:本地 vs 远程 vs 动态转发
Xtaiyang的博客
01-17 1709
SSH(Secure Shell)不仅是一个安全的远程登录工具,还提供了强大的端口转发功能。通过 SSH 端口转发,我们可以安全地访问远程服务、绕过防火墙限制,甚至将本地服务暴露给外部网络。本文将详细介绍 SSH 端口转发的三种模式:**本地端口转发**、**远程端口转发** 和 **动态端口转发**,并通过表格对比它们的异同,帮助你更好地理解和使用这些功能。
mogura:ssh端口转发工具
03-25
Mogura是通过SSH端口转发通过网络连接到微服务的代理。 当前,仅支持MacOS并具有alpha开发状态。 用例 您正在开发需要连接到其他一些微服务的微服务。 但是,所有其他微服务都无法在本地现实中使用。 然后通过VPN或...
端口转发——SSH
YJ_12340的博客
09-06 1120
ssh -CfNg -R 8888:靶机ip:3389 远程用户(root)@远程ip。ssh -CfNg -L 8888:靶机ip:3389 root@边界机ip。ssh -CfNg -D 8888 边界机账号@边界机ip。-f 将SSH传输转入后台执行,不占用当前的shell。-N 建立静默连接(建立了连接,但是看不到具体会话)-g 允许远程主机连接到本地用于转发端口-D 动态转发(socks代理)-C 压缩传输,加快传输速度。发现8888端口已经打开。-P 指定SSH端口。8888端口监听失败。
SSH端口转发
01-07 846
SSH:Secure Shell,是一种在不安全网络中提供安全连接的协议,通过加密隧道,提供了对远程计算机的访问。可不仅是一个远程工具,还有多种功能,比如说端口转发,主要分为以下三种类型:本地端口转发远程端口转发动态端口转发
网络SSH本地/远程/动态端口转发
一凡stkeke
03-15 1038
文章目录网络拓扑图SSH本地端口转发桌面工作站访问实验室机器(免登录跳板机)实验室机器访问外网(本地转发)SSH远程端口转发SSH动态端口转发 网络拓扑图 为了方便讲解命令和原理,假想了一个常见的网络拓扑场景,主要包括公司网络场景以及家庭网络场景。公司网络场景中,办公桌面上的Windows工作站可以通过代理服务器访问外网,公司实验室网络由跳板机以及跳板机后面的私有局域网构成。家庭网络场景则由路由器...
ssh如何实现端口转发
小诸葛的博客
09-22 1086
本地端口转发:将本地端口转发到远程服务器的端口,适合通过中间主机访问远程服务。远程端口转发:将远程服务器的端口转发到本地或另一台主机的端口,适合让远程服务器访问本地资源。动态端口转发:通过 SOCKS 代理灵活地访问远程服务器上的资源,适合建立一个代理服务。
SSH端口转发实验
lidengfengboke的博客
06-04 825
一、SSH端口转发相关概念二、实验:模拟SSH本地端口转发三、实验:模拟SSH远程端口转发四、实验:模拟SSH动态端口转发 一、SSH端口转发相关概念在上一节我们知道,SSH会自动加密和解密所有SSH客户端和服务器之间的网络数据。但是,SSH还同时提供了一个非常有用的功能,这就是端口转发。它能够将其他TCP端口网络数据通过安全的SSH协议转发,例如:Telnet,SMTP等这些TCP应用都能从中...
ssh端口转发介绍
xtgby的博客
07-05 927
SSH(Secure Shell)是一种加密的网络协议,用于安全地远程登录和执行命令。除了远程登录外,SSH还具备其他功能,其中一个重要的功能就是端口转发SSH端口转发是一种将网络流量从一个端口转发到另一个端口的机制,通过SSH通道进行安全传输。在本文中,我们将详细介绍SSH端口转发的概念、类型和用途。
ollama ssh端口转发
最新发布
03-21
### Ollama SSH 端口转发配置指南 Ollama 是一种用于管理大型语言模型的工具,但它本身并不直接提供 SSH 功能。然而,可以通过标准的 OpenSSH 配置实现端口转发功能,并将其集成到涉及 Ollama 的工作流中。 以下是关于如何通过 SSH 进行端口转发的相关说明: #### 本地端口转发 当需要将远程服务器上的某个服务暴露给本地计算机时,可以使用以下命令设置本地端口转发: ```bash ssh -L <local_port>:<destination_host>:<destination_port> user@remote_server ``` 在此场景下,`<local_port>` 表示本地监听的端口号,`<destination_host>` 和 `<destination_port>` 则表示目标主机及其开放的服务端口[^2]。 例如,如果希望将运行在 `10.2.2.9` 上的 MySQL 数据库(默认端口为 3306)映射到本地机器上,则可执行如下命令: ```bash ssh -L 3307:10.2.2.9:3306 user@ssh_gateway ``` 这样,在本地访问 `localhost:3307` 就相当于连接到了 `10.2.2.9:3306`。 #### 远程端口转发 对于某些情况下可能需要让外部网络能够访问本机的一个特定服务的情况,可以采用远程端口转发的方式完成此操作: ```bash ssh -R <remote_port>:<source_host>:<source_port> user@remote_server ``` 这里 `<remote_port>` 定义的是远端要绑定的端口;而 `<source_host>` 及其对应的 `<source_port>` 指定源地址和服务端口[^1]。 假设有一款仅限局域网内部使用的 Web 应用程序正在 localhost 的 8080 端口上运行,那么为了让其他同事也能看到这个页面,就可以这样做: ```bash ssh -R 8081:127.0.0.1:8080 colleague@example.com ``` 此时任何向 `colleague.example.com:8081` 发起请求的操作都会被重定向至发起者的个人电脑并返回相应数据。 #### 多节点环境下的无密码 SSH 设置 在一个多节点环境中,为了简化跨节点间通信流程以及提高效率,通常建议预先建立好免密登录机制以便后续自动化脚本调用更加顺畅[^3]。具体做法包括但不限于交换公钥文件等内容。 首先确认当前用户的 .ssh 文件夹是否存在 id_rsa.pub 类型的公开密钥材料,如果没有则先创建一对新的 RSA 密码对儿: ```bash ssh-keygen -t rsa -b 4096 -C "your_email@example.com" ``` 接着把生成出来的 public key 添加进每一个目标设备中的 authorized_keys 文档里头去: ```bash cat ~/.ssh/id_rsa.pub | ssh user@target_node 'mkdir -p ~/.ssh && cat >> ~/.ssh/authorized_keys' ``` 最后测试一下能否成功达成无需输入额外验证信息即可顺利完成整个链接过程的效果: ```bash ssh target_node ``` 如果一切正常的话应该可以直接跳转过去而不必再手动填写账号密码之类的信息了。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值