OpenSSH高级功能之端口转发（Port Forwarding）

在RedHat提供的系统管理员指南中提到OpenSSH不止是一个安全shell，它还具有X11转发（X11 Forwarding）和端口转发（Port Forwarding）的功能。X11功能一般用于通过ssh连接到服务器端的图形界面，像远程桌面一样使用Linux服务器主机，客户端只要能访问服务器端并且服务器端已经安装了图形界面管理器（如GNOME、KDE、XFCE等）就可以通过SSH的X11转发功能实现远程桌面。

本文重点讲的是OpenSSH的另一个高级功能端口转发（本地端口转发，Local Port Forwarding），并着重列举一下具体有哪些较好的应用场景。对OpenSSH端口转发原理不怎么了解的其实可以参考代理服务器的功能，比如它和Nginx或Apache的网站转发器（代理）是一样的。它能实现客户端A通过访问服务器端B（执行SSH端口转发命令），从而通过服务器端B的某一个指定端口访问服务器端C提供的服务。

需求：

客户端A要访问服务器C所提供的服务，但客户端A并不能直接访问到服务器C

使用条件：

1.客户端A和服务器B之间可以互相访问，服务器B与服务器C之间可以互相访问，而客户端A与服务器C之间能否互相访问均可。

2.服务器B上需要运行SSH服务，并能支持Port Forwarding（支持端口转发，一般默认都支持）

步骤：

客户端A或服务器B上运行ssh客户端，执行命令“ssh -L 172.16.172.7:3389:172.16.172.33:3389 172.16.172.7”，其含义是：

（1）SSH到172.16.172.7

（2）172.16.172.7:3389:172.16.172.33:3389 表示客户端A可以通过连接172.16.172.7（服务器端B）的3389连接172.16.172.33（服务器端C）的3389端口

（3）如果第一个172.16.172.7设为空，即把172.16.172.7:3389:172.16.172.33:3389 变为3389:172.16.172.33:3389 ，则172.16.172.7（服务器端B）默认只监听127.0.0.1这个本地环回地址，失去了满足需求的意义。

（4） 注意，如果客户端A上的SSH客户端不支持这样执行（Linux系统自带的openssh-clients包提供的ssh都支持），则可以参考一些SSH客户端软件（如PUTTY、Xmanager的Xshell）的具体设置，或者直接在服务器B上执行上述命令

图1.Server B SSH自己，打开Port Forwarding

图2.Client A 远程桌面连接到Server B

图3：Server B中已经建立好的连接

图4：Server C中已经建立好的连接

图5.上述步骤的整体解释，上述步骤中采用的是第二种连接方式，即SSH Server B SSH到自己身上，建立好端口转发通道

应用场景：

1.内网穿透或者防火墙穿透。例如防火墙上映射或开放一台Linux主机的SSH端口，防火墙外的主机通过SSH到这台Linux主机，通过这台Linux主机就能访问这台LInux主机所能访问的一切主机（服务），实现远程代理访问。

2.安全规则穿透。与第一条道理相同，如果除了这台Linux主机以外的所有主机都不能访问，那么就可以通过这台Linux主机进行访问。

例子：

客户的数据中心中有一台具有公网IP地址A的CentOS6虚拟机H2，还有多台没有公网IP地址但有和CentOS6虚拟机H1相同内网网段和安全规则的IP地址B的虚拟机H2，那我在客户的数据中心外面即可通过这台CentOS6虚拟机H1访问虚拟机H2，实现了H2的无公网IP地址的远程访问（远程代理访问）。

原文地址：http://www.tuicool.com/articles/RNnmEz