SSH 隧道与转发内网穿透（转载）

康怀帅

发布于 2018-02-28 14:59:51

4.2K1

发布于 2018-02-28 14:59:51

文章被收录于专栏：康怀帅的专栏

大家都知道 SSH 是一种安全的传输协议，用在连接服务器上比较多。不过其实除了这个功能，它的隧道转发功能更是吸引人。下面是个人根据自己的需求以及在网上查找的资料配合自己的实际操作所得到的一些心得。

SSH/plink 命令的基本资料

$ ssh -C -f -N -g -L listen_port:DST_Host:DST_port user@Tunnel_Host
$ ssh -C -f -N -g -R listen_port:DST_Host:DST_port user@Tunnel_Host
$ ssh -C -f -N -g -D listen_port user@Tunnel_Host

建立本地 SSH 隧道例子

在我们计划建立一个本地 SSH 隧道之前，我们必须清楚下面这些数据：

中间服务器 d 的 IP 地址要访问服务器 c 的 IP 地址和端口

现在，我们把上面这张图变得具体一些，给这些机器加上 IP 地址。并且根据下面这张图列出我们的计划：

需要访问 234.234.234.234 的 FTP 服务，也就是端口 21，中间服务器是 123.123.123.123

现在我们使用下面这条命令来达成我们的目的

$ ssh -N -f -L 2121:234.234.234.234:21 123.123.123.123

$ ftp localhost:2121
# 现在访问本地2121端口，就能连接234.234.234.234的21端口了

这里我们用到了 SSH 客户端的三个参数，下面我们一一做出解释：

-N 告诉SSH客户端，这个连接不需要执行任何命令。仅仅做端口转发

-f 告诉SSH客户端在后台运行

L 做本地映射端口，被冒号分割的三个部分含义分别是

需要使用的本地端口号

需要访问的目标机器IP地址（IP: 234.234.234.234）

需要访问的目标机器端口（端口: 21)

最后一个参数是我们用来建立隧道的中间机器的IP地址(IP: 123.123.123.123)

我们再重复一下 -L 参数的行为。-L X:Y:Z 的含义是，将 IP 为 Y 的机器的 Z 端口通过中间服务器映射到本地机器的 X 端口。

在这条命令成功执行之后，我们已经具有绕过公司防火墙的能力，并且成功访问到了我们喜欢的一个 FTP 服务器了。

如何建立远程 SSH 隧道

通过建立本地 SSH 隧道，我们成功地绕过防火墙开始下载 FTP 上的资源了。那么当我们在家里的时候想要察看下载进度怎么办呢？大多数公司的网络是通过路由器接入互联网的，公司内部的机器不会直接与互联网连接，也就是不能通过互联网直接访问。通过线路 D-B-A 访问公司里的机器 a 便是不可能的。也许你已经注意到了，虽然 D-B-A 这个方向的连接不通，但是 A-B-D 这个方向的连接是没有问题的。那么，我们能否利用一条已经连接好的 A-B-D 方向的连接来完成 D-B-A 方向的访问呢？答案是肯定的，这就是远程 SSH 隧道的用途。

与本地 SSH 一样，我们在建立远程 SSH 隧道之前要清楚下面几个参数：

需要访问内部机器的远程机器的IP地址（这里是123.123.123.123）

需要让远程机器能访问的内部机器的IP地址(这里因为是想把本机映射出去，因此IP是127.0.0.1)

需要让远程机器能访问的内部机器的端口号(端口:22)

在清楚了上面的参数后，我们使用下面的命令来建立一个远程SSH隧道

$ ssh -N -f -R 2222:127.0.0.1:22 123.123.123.123

现在，在 IP 是 123.123.123.123 的机器上我们用下面的命令就可以登陆公司的 IP 是 192.168.0.100 的机器了。

$ ssh -p 2222 localhost

-N -f 这两个参数我们已经在本地 SSH 隧道中介绍过了。我们现在重点说说参数 -R。该参数的三个部分的含义分别是:

远程机器使用的端口（2222）

需要映射的内部机器的IP地址(127.0.0.1)

需要映射的内部机器的端口(22)

例如：-R X:Y:Z 就是把我们内部的Y机器的Z端口映射到远程机器的X端口上。

建立 SSH 隧道的几个技巧

自动重连

隧道可能因为某些原因断开，例如：机器重启，长时间没有数据通信而被路由器切断等等。因此我们可以用程序控制隧道的重新连接，例如一个简单的循环或者使用 djb’s daemontools . 不管用哪种方法，重连时都应避免因输入密码而卡死程序。关于如何安全的避免输入密码的方法，请参考我的如何实现安全的免密码ssh登录。这里请注意，如果通过其他程序控制隧道连接，应当避免将SSH客户端放到后台执行，也就是去掉-f参数。

保持长时间连接

有些路由器会把长时间没有通信的连接断开。SSH 客户端的 TCPKeepAlive 选项可以避免这个问题的发生，默认情况下它是被开启的。如果它被关闭了，可以在 ssh 的命令上加上 -o

TCPKeepAlive=yes 来开启。

另一种方法是，去掉 -N 参数，加入一个定期能产生输出的命令。例如: top 或者 vmstat。下面给出一个这种方法的例子：

$ ssh -R 2222:localhost:22 123.123.123.123 "vmstat 30"

检查隧道状态

有些时候隧道会因为一些原因通信不畅而卡死，例如：由于传输数据量太大，被路由器带入 stalled 状态。这种时候，往往 SSH 客户端并不退出，而是卡死在那里。一种应对方法是，使用 SSH 客户端的 ServerAliveInterval 和 ServerAliveCountMax 选项。 ServerAliveInterval 会在隧道无通信后的一段设置好的时间后发送一个请求给服务器要求服务器响应。如果服务器在 ServerAliveCountMax 次请求后都没能响应，那么 SSH 客户端就自动断开连接并退出，将控制权交给你的监控程序。这两个选项的设置方法分别是在 ssh 时加入 -o ServerAliveInterval=n 和 -o ServerAliveCountMax=m。

如何将端口绑定到外部地址上

使用上面的方法，映射的端口只能绑定在 127.0.0.1 这个接口上。也就是说，只能被本机自己访问到。如何才能让其他机器访问这个端口呢？我们可以把这个映射的端口绑定在 0.0.0.0 的接口上，方法是加上参数 -b 0.0.0.0。同时还需要打开 SSH 服务器端的一个选项－GatewayPorts。默认情况下它应当是被打开的。如果被关闭的话，可以在 /etc/sshd_config 中修改 GatewayPorts no 为 GatewayPorts yes 来打开它。

通过 SSH 隧道建立 SOCKS 服务器

如果我们需要借助一台中间服务器访问很多资源，一个个映射显然不是高明的办法（事实上，高明确实没有用这个方法）。幸好，SSH 客户端为我们提供了通过SSH隧道建立 SOCKS 服务器的功能。

通过下面的命令我们可以建立一个通过 123.123.123.123 的 SOCKS 服务器。

$ ssh -N -f -D 1080 123.123.123
# 将端口绑定在127.0.0.1上

$ ssh -N -f -D 0.0.0.0:1080 123.123.123.123
# 将端口绑定在0.0.0.0上

通过 SSH 建立的 SOCKS 服务器使用的是 SOCKS5 协议，在为应用程序设置 SOCKS 代理的时候要特别注意。