Linux：ssh端口转发详解

ssh是个多用途的工具，不仅可以远程登录，还可以搭建socks代理、进行内网穿透，这是利用它的端口转发功能来实现的。

所谓ssh端口转发，就是在ssh连接的基础上，指定 ssh client 或 ssh server 的某个端口作为源地址，所有发至该端口的数据包都会透过ssh连接被转发出去；至于转发的目标地址，既可以指定，也可以不指定，如果指定了目标地址，称为定向转发，如果不指定目标地址则称为动态转发：

• 定向转发
  定向转发把数据包转发到指定的目标地址。目标地址不限定是ssh client 或 ssh server，既可以是二者之一，也可以是二者以外的其他机器
• 动态转发
  动态转发不指定目标地址，数据包转发的目的地是动态决定的

因为ssh端口转发是基于ssh连接的，所以如果ssh连接断开，那么设置好的端口转发也会随之停止。

在设置端口转发之前，必须确认ssh的端口转发功能是打开的。

怎样打开ssh的端口转发功能？

ssh端口转发功能默认是打开的。控制它的开关叫做 AllowTcpForwarding，位于ssh server的配置文件 /etc/ssh/sshd_config 里：
    AllowTcpForwarding yes
如果修改的话需要重启sshd服务才会生效。

怎样设置端口转发？

设置端口转发之前要注意 iptables 设置，确保相应的端口未被屏蔽，如果嫌麻烦的话也可以临时禁用 iptables：
# service iptables stop

定向转发和动态转发的设置方法是不一样的，以下分别介绍。

设置定向转发

定向转发可以把一个 IP:Port 定向映射到另一个 IP:Port，源和目的都必须指定。源地址既可以是 ssh client 的某个端口，也可以是 ssh server 的某个端口：

• 如果源地址是 ssh client 的某个端口，称为本地转发（Local Port Forwarding），发往 ssh client 指定端口的数据包会经过 ssh server 进行转发；
• 如果源地址是 ssh server 的某个端口，则称为远程转发（Remote Port Forwarding），发往 ssh server 指定端口的数据包会经过 ssh client 进行转发.

设置本地转发：

先看一下基本命令：

在ssh client上执行：
{ssh client}# ssh -g -N -f -o ServerAliveInterval=60 \
-L <local port>:<remote host>:<remote port> username@<ssh server>
参数的含义在后面有解释。

我们以下面的示意图为例：你想telnet连接{remote host}，但是无法直达，你只能直接连接ssh client，于是试图通过{ssh client}到{ssh server}这条通道中转：

{you} — {ssh client} — {ssh server} — {remote host}

我们要做的是在{ssh client}上执行以下命令：

{ssh client} # ssh -g -L 2323:<remote-host>:23 username@<ssh-server>

输入口令之后，就跟普通的ssh登录一样，我们进入了shell，在shell中可以正常操作，不同之处是，它同时还把 {ssh client} 的2323端口映射到了{remote host} 的23端口——亦即telnet端口，此后执行”telnet <ssh client> 2323″就相当于”telnet <remote-host>”，只要shell不退出，这个定向转发就一直有效。

• 注1：如果以上命令不加”-g”选项，那么SSH Client上的监听端口2323会绑定在127.0.0.1上，意味着只有SSH Client自己才能连上。加上”-g”选项之后，SSH Client才允许网络上其他机器连接2323端口。
• 注2：以上命令会生成一个shell，有时候并不符合我们的需要，因为多数时候我们只想要一个端口转发功能，挂一个shell是个累赘，而且shell一退出，端口转发也停了。这就是为什么我们需要”-N -f”选项的原因：
  -N 告诉ssh client，这个连接不需要执行任何命令，仅做端口转发
  -f 告诉ssh client在后台运行
• 注3：为了避免长时间空闲导致ssh连接被断开，我们可以加上”-o ServerAliveInterval=60″选项，每60秒向ssh server发送心跳信号。还有一个TCPKeepAlive选项的作用是类似的，但是不如ServerAliveInterval 好，因为TCPKeepAlive在TCP层工作，发送空的TCP ACK packet，有可能会被防火墙丢弃；而ServerAliveInterval 在SSH层工作，发送真正的数据包，更可靠些。
• 如果不是以root身份设置端口转发的话，转发端口只能使用大于1024的端口号。

设置远程转发：

先看一下基本命令，分为两部分：

在ssh server上：
编辑 /etc/ssh/sshd_config，设置以下内容然后重启sshd服务
    GatewayPorts yes
在ssh client上执行：
{ssh client}# ssh -f -N -o ServerAliveInterval=60 \
-R <ssh server port>:<remote host>:<remote port> username@<ssh server>

这次的实例如下所示，你想用telnet连接{remote host}，但是无法直达，于是试图通过{ssh server}到{ssh client}这条通道中转，注意与前面介绍的本地转发的不同之处是，本地转发的案例中你只能直接连接到 ssh client，而这里你只能直接连到 ssh server：

{you} — {ssh server} — {ssh client} — {remote host}

我们要做的是在{ssh client}上执行以下命令：

{ssh client} # ssh -f -N -R 2323:<remote-host>:23 username@<ssh-server>

输入口令之后，{ssh server}的2323端口映射到了{remote host}的23端口——亦即telnet端口，此后执行”telnet <ssh server> 2323″就相当于”telnet <remote-host>”。

本地转发与远程转发的区别与适用场景

定向转发（包括本地转发和远程转发）通常用于内网穿透，本地转发和远程转发的区别就在于监听端口是开在ssh client上还是ssh server上。常见的使用场景是：

• 如果ssh client在内网里面，ssh server在Internet上，你想让Internet上的机器穿进内网之中，那就使用远程转发；
• 如果ssh server在内网里面，ssh client在外面，你想穿进内网就应该使用本地转发。

设置动态转发

定向转发（包括本地转发和远程转发）的局限性是必须指定某个目标地址，如果我们需要借助一台中间服务器访问很多目标地址，一个一个地定向转发显然不是好办法，这时我们要用的是ssh动态端口转发，它相当于建立一个SOCKS服务器。

先看一下基本命令：

在ssh client上执行：
{ssh client}# ssh -f -N -o ServerAliveInterval=60 \
-D <ssh client port> username@<ssh server>

实际使用时有两种常见场景：

• 你把自己的机器(127.0.0.1)当作 sock5 代理服务器：
  {you / ssh client} — {ssh server} — {other hosts}

命令如下：

{ssh client} # ssh -f -N -D 1080 username@<ssh-server>

这种情况下，我们得到的socks5代理服务器是：127.0.0.1:1080，仅供ssh client自己使用。
然后你就可以在浏览器中或其他支持socks5代理的软件中进行设置。

• ssh client 和 ssh server 是同一台机器，并充当socks5代理：
  {you} — {ssh client / ssh server} — {other hosts}

命令如下：

{ssh client} # ssh -f -N -g -D 1080 username@127.0.0.1

这种情况下，我们得到的socks5代理服务器是：
{ssh client IP}:1080，可供网络上其他机器使用，只要能连接ssh client即可。

通过SSH建立的SOCKS服务器使用的是SOCKS5协议，在为应用程序设置SOCKS代理的时候要注意。