SSH实现端口映射
SSH 端口映射(Port Forwarding)是一种通过 SSH 协议将本地端口或远程端口映射到另一个端口的方法,用于实现安全的网络访问。SSH 端口映射分为三种类型:本地端口转发、远程端口转发 和 动态端口转发。
1. 本地端口转发(Local Port Forwarding)
将本地端口的数据转发到远程服务器上的目标地址和端口。(访问本地端口就是访问远程端口)
用途:访问防火墙内部的服务,隐藏真实 IP,借助跳板机访问目标服务器等。
命令格式:
ssh -L [本地端口]:[目标地址]:[目标端口] [用户名]@[远程主机]
参数说明:
-L:指定本地端口转发。[本地端口]:本地监听的端口。[目标地址]:远程主机访问的地址(通常是 127.0.0.1,如果是通过跳板访问目标主机,那就是目标主机 IP )。[目标端口]:远程主机的目标服务端口。[远程主机]:用于建立SSH连接的主机。
示例:
本地端口 8080 的数据通过 SSH 隧道转发到远程主机的 127.0.0.1:3306(MySQL)。
ssh -L 8080:127.0.0.1:3306 user@remote-server
访问 localhost:8080 即可连接到远程 MySQL 服务。
2. 远程端口转发(Remote Port Forwarding)
将远程服务器的端口映射到本地机器的服务地址和端口。
用途:允许外网访问内网资源。
命令格式:
ssh -R [远程端口]:[目标地址]:[目标端口] [用户名]@[远程主机]
参数说明:
-R:指定远程端口转发。[远程端口]:远程主机监听的端口。[目标地址]:本地服务的地址。[目标端口]:本地服务的端口。
示例:
将本地的 127.0.0.1:8000 服务映射到远程主机的 8888 端口。
ssh -R 8888:127.0.0.1:8000 user@remote-server
外部访问 remote-server:8888 即可连接到本地 8000 端口的服务。
注意:需要在远程服务器的 sshd_config 中设置 GatewayPorts yes,否则只能本机访问。
3. 动态端口转发(Dynamic Port Forwarding)
使用 SSH 作为 SOCKS代理 ,动态转发流量到不同的目标地址和端口。
用途:翻墙、代理上网。
命令格式:
ssh -D [本地端口] [用户名]@[远程主机]
参数说明:
-D:指定动态端口转发。[本地端口]:本地监听的 SOCKS 代理端口。
示例:
将本地 1080 端口作为 SOCKS5 代理,转发流量到远程主机。
ssh -D 1080 user@remote-server
在浏览器设置 SOCKS 代理为 localhost:1080 即可实现代理上网。
4. 常用附加参数
-f:让SSH在后台运行。-N:仅建立转发,不打开shell。-v:显示详细调试信息。-C:启用SSH压缩,提高低带宽情况下的传输效率。
示例:后台运行本地端口转发。(实现本地 8080 端口访问远程 3306 端口的服务)
ssh -f -N -L 8080:127.0.0.1:3306 user@remote-server
5. 安全配置与注意事项
-
限制绑定地址:默认情况下,SSH 只监听本地的 127.0.0.1 ,可以通过
-g选项允许其他主机访问。例如:ssh -g -L 8080:127.0.0.1:3306 user@remote-server -
配置防火墙:确保相关端口未被防火墙阻拦。
-
调整 sshd 配置:编辑
/etc/ssh/sshd_config,确认以下设置:- 允许端口转发:
AllowTcpForwarding yes - 动态转发:
PermitTunnel yes - 远程绑定:
GatewayPorts yes
- 允许端口转发:
-
测试连接:使用
telnet或curl验证端口是否成功映射。
6. 排查问题
- 端口冲突:确保本地或远程主机上的端口未被占用。
- 防火墙限制:检查服务器和本地机器的防火墙规则。
- 调试模式:使用
ssh -v查看详细日志。
