SSH 端口映射（一）

转载：http://blog.csdn.net/a351945755/article/details/21785647，http://blog.csdn.net/gaoming655/article/details/7231517，http://blog.aizhet.com/NET/12044.html,

SSH 端口映射

工作中经常会遇到一些服务器访问受限的问题：某些服务器只有私网ip地址，仅能通过内网ip连接，或如mysql服务器或登录其它机器的ssh。

可以将远端服务器一个端口remote_port绑定到本地端口port，

一。 linux

首先要记住一件事情就是：

SSH 端口转发自然需要 SSH 连接，而 SSH 连接是有方向的，从 SSH Client 到 SSH Server 。

而我们所要访问的应用也是有方向的，应用连接的方向也是从应用的 Client 端连接到应用的 Server 端。比如需要我们要访问Internet上的Web站点时，Http应用的方向就是从我们自己这台主机(Client)到远处的Web Server。

如果SSH连接和应用的连接这两个连接的方向一致，那我们就说它是本地转发。

ssh -L <local port>:<remote host>:<remote port> <SSH hostname>

如果SSH连接和应用的连接这两个连接的方向不同，那我们就说它是远程转发。

ssh -R <local port>:<remote host>:<remote port> <SSH hostname>

<PIC>

本地转发：

　　在本地这台机器上监听一个端口，然后所有访问这个端口的数据都会通过ssh 隧道传输到远端的对应端口上，下面是例子。

　　本地端口转发绑定的是 lookback 接口，这意味着只有 localhost 或者 127.0.0.1 才能使用本机的端口转发 , 其他机器发起的连接只会得到“ connection refused. ”。要想让其他机器也能共享这个隧道来转发的话需要在配置文件中使用GatewayPorts 关键字，或者直接命令行下使用"-g"参数。

另外本地转发命令中的 <remote host> 和 <SSH hostname> 可以是不同的主机。

<PIC>

远程转发与本地转发正好相反，打开ssh隧道以后，在远端服务器监听一个端口，所有访问远端服务器指定端口都会通过隧道传输到本地的对应端口上，下面是例子。

<PIC>

 

ssh的三个强大的端口转发命令：

转发到远端：ssh -C -f -N -g -L 本地端口:目标IP:目标端口 用户名@目标IP

转发到本地：ssh -C -f -N -g –R 本地端口:目标IP:目标端口 用户名@目标IP

ssh -C -f -N -g -D listen_port user@Tunnel_Host

其中

-C，是进行数据压缩。

-f，是后台认证用户/密码，通常和-N连用，不用登录到远程主机。只有当提示用户名密码的时候才转向前台。

-N，是不执行远端命令，在只是端口转发时这条命令很有用处。

-g ，在-L/-R/-D参数中，是允许远端主机连接本地转发端口，如果不加这个参数，只允许本地主机建立连接。

-L，则是将本地端口映射到远端主机端口。本地端口:目标IP:目标端口

　　将本地机(客户机)的某个端口转发到远端指定机器的指定端口。

　　工作原理： 本地机器上分配了一个 socket 侦听 port 端口, 一旦这个端口上有连接, 该连接就经过安全通道转发出去, 同时远程主机和 host 的 hostport 端口建立连接. 可以在配置文件中指定端口的转发。

　　只有 root 才能转发特权端口。IPv6 地址用另一种格式说明: port/host/hostport

-R，表明是将远端主机端口映射到本地端口。本地端口:目标IP:目标端口

　　将远程主机(服务器)的某个端口转发到本地端指定机器的指定端口

　　 工作原理： 远程主机上分配了一个 socket 侦听 port 端口, 一旦这个端口上有连接, 该连接就经过安全通道转向出去, 同时本地主机和 host 的 hostport 端口建立连接. 可以在配置文件中指定端口的转发.。

　　只有用 root 登录远程主机才能转发特权端口.。IPv6 地址用另一种格式说明: port/host/hostport

-p ：被登录的ssd服务器的sshd服务端口。

-D port

　　指定一个本地机器 “动态的'’ 应用程序端口转发.。

　　工作原理： 本地机器上分配了一个 socket 侦听 port 端口, 一旦这个端口上有了连接, 该连接就经过安全通道转发出去, 根据应用程序的协议可以判断出远程主机将和哪里连接.。目前支持 SOCKS4 协议, 将充当 SOCKS4 服务器。

　　 只有 root 才能转发特权端口，可以在配置文件中指定动态端口的转发。

应用举例

1. 将发往本机的80端口访问转发到192.168.1.1的8080端口

ssh -C -f -N -g -L 80:192.168.1.1:8080  user@192.168.1.1

2. 将发往192.168.1.1的8080访问转发到本机的80端口

ssh -C -f -N -g -R 80:192.168.1.1:8080 user@192.168.1.1

（user为主机192.168.1.1上的用户）

-N - 不使用Shell窗口，纯做转发的时候用，如果你在映射完成后继续在服务器上输入命令，去掉这个参数即可

例子A:我们想远程管理服务器上的MySQL,那么使用下面命令

ssh -L 3306:127.0.0.1:3306   user@emlog-vps    -N  

运行这个命令之后，ssh将会自动将服务器的3306映射到本机的3306端口，我们就可以使用任意MySQL客户端连接 localhost:3306即可访问到服务器上的MySQL了。

例子B:一次同时映射多个端口

ssh -L 8888:www.host.com:80 -L 110:mail.host.com:110 -L    25:mail.host.com:25 user@host -N  

命令将自动把服务器的80，110，25端口分别映射到本机的8888，110和25端口

注：以上命令在ubuntu 9.10 上测试通过...

下一篇