原文:http://www.dbabeta.com/2010/linux-port-forward-with-ssh.html
通常情況下兩個不同的網路之間總會開放某一些特定的連接埠用於通訊使用,而SSH所使用的22連接埠通常就在開放之列。基於SSH的連接埠轉寄就是利用SSH作為中間的代理,達到繞過兩個網路之間的限制,順利的進行任意的連接埠的訪問。
連接埠轉寄可以分為三種,正向連接埠轉寄,反向連接埠轉寄和動態連接埠轉寄。
為了示範這三種連接埠轉寄方式的用法我們先假設存在有2個網域Office和Prod,在網域Office中有兩個主機A和B,在網域Prod中兩個主機C和D,這兩個網域之間除了主機A能夠訪問C的22連接埠之外,其他所有的訪問都被網路規則所禁止,也就是說A機器無法訪問C的除22之外的所有其他連接埠,也無法訪問到D主機;而主機C和D根本就無法訪問A或者B中的任意一台主機。
任務一:正向連接埠轉寄
現在開始我們的第一個任務:假設主機D上面安裝有資料庫服務,監聽的連接埠是8888,如果我想通過Office域中的主機A直接存取D主機中的資料庫那該怎麼辦呢?這就要用到SSH的正向連接埠功能了。在這先要說明一下,在Linux中,所有的連接埠轉寄的操作都可以通過使用內建的工具ssh來完成。
完成任務一的命令很簡單,如下:
1 |
ssh -L 8000:host-d.prod.mycompany.com:8888 oracle@host-c.prod.mycompany.com -N |
現在解釋一下上面的命令:
-
參數-L
-
表示在本地開啟監聽的連接埠,後面緊跟的參數格式為::,表示將本地的8000連接埠轉寄到遠程主機D的8888連接埠。
-
orainst@host-c.prod.mycompany.com
-
這個參數指定要使用ssh登入的主機以及登入的使用者名稱,這裡使用的主機和前一個參數中的主機必須是在同一個網域當中,並且能相互訪問,當然也可以是同一個機器。
-
參數-N
-
不執行遠端命令。這個參數在這裡是可選的。
現在在主機A上面運行上面的命令之後輸入正確的密碼,然後我們先登入主機A查看一下當前連接埠的狀態:
12345 |
oracle@host-a[orcl]:~$ netstat -natp| grep 8000 (Not all processes could be identified, non-owned process info will not be shown, you would have to be root to see it all.) tcp 0 0 127.0.0.1:8000 0.0.0.0:* LISTEN 3767 /ssh tcp 0 0 ::1:8000 :::* LISTEN 3767 /ssh |
可以看到在主機A上已經存在8000連接埠準備隨時接受串連了,不過要注意的是這裡監聽的網路是127.0.0.1(::1),也就是說這種串連僅限於本地操作。
接下來就是配置下TNSNAMES了,配置如下:
123456789101112 |
orcl= (DESCRIPTION= (ENABLE=BROKEN) (ADDRESS_LIST= (FAILOVER=ON) (LOAD_BALANCE=YES) (ADDRESS=(PROTOCOL=TCP)(HOST=localhost)(PORT=8000)) ) (CONNECT_DATA= (SID=orcl) ) ) |
然後tnsping測試一下:
123456789101112 |
oracle@host-a[orcl]:~$ tnsping orcl TNS Ping Utility for Linux: Version 11.1.0.7.0 - Production on 05-JUL-2010 09:13:25 Copyright (c) 1997, 2008, Oracle. All rights reserved. Used parameter files: Used TNSNAMES adapter to resolve the alias Attempting to contact (DESCRIPTION= (ENABLE=BROKEN) (ADDRESS_LIST= (FAILOVER=ON) (LOAD_BALANCE=YES) (ADDRESS=(PROTOCOL=TCP)(HOST=localhost)(PORT=8000))) (CONNECT_DATA= (SID=orcl))) OK (340 msec) |
大功告成。
任務二:反向連接埠轉寄
因為網域Prod不能以任何的方式訪問網域Office,假設這兩個網域所處的物理位置完全的不同,那當那一天處於網域Prod的時候又想操作處於網域Office中的主機A,那怎麼辦呢?這就是要用到反向連接埠轉寄的時候了。
反向連接埠轉寄的基本思想就是從主機A建立到主機C的ssh串連的同時在主機C上開啟一個連接埠可以反向串連到主機B上面的某一個連接埠,當然從主機控制上面來說串連到主機B的22(ssh連接埠)是最實惠的了,現在要做的就是在主機A上面運行如下的命令:
1 |
ssh -R 8888:localhosthost-b.office.mycompany.com:22 oracle@host-c.prod.mycompany.com -N |
同樣的,先解釋下上面的命令:
-
參數-R
-
建立一個反向的連接埠轉寄,後面緊跟的參數格式為 ::,這裡監聽的連接埠是8888,反向串連要到C主機原來根本無法訪問的主機B的22連接埠。
-
oracle@host-c.prod.mycompany.com
-
這個參數指定要使用ssh登入的主機以及登入的使用者名稱,這裡使用的主機和前一個參數中的主機必須是在同一個網域當中,並且能相互訪問,當然也可以是同一個機器。
-
參數-N
-
不執行遠端命令。這個參數在這裡是可選的。
在主機A上面執行上面的命令成功之後就可以登入到主機C檢查一下效果了,首先是檢查8888連接埠的開發狀態:
1234 |
oracle@host-c:~$ netstat -natp | grep 8888 (No info could be read for "-p" : geteuid()=1001 but you should be root.) tcp 0 0 127.0.0.1:8888 0.0.0.0:* LISTEN - tcp6 0 0 ::1:8888 :::* LISTEN - |
然後就是測試下這個連接埠的可用性,執行如下的命令:
1234567 |
oracle@host-c:~$ ssh -p 8888 oracle@localhost Password: Last login: Mon Jul 5 02:34:50 2010 from 172.24.43.103 oracle@host-b.office$ hostname host-b.office.mycompany.com oracle@host-b.office$ |
至此現在已經成功的使用唯一開放的ssh連接埠建立了一個本來是完全不可能的串連。這種方法是非常有用的,具體在什麼時候用就靠大家的發揮了。
任務三:動態連接埠轉寄
動態連接埠轉寄實際上是建立一個ssh加密的SOCKS4/5代理通道,任何支援SOCKS4/5協議的程式都可以使用這個加密的通道來進行代理訪問,現在這種方法最常用的地方就是翻牆了,使用的方法也很簡單,命令如下:
1 |
ssh -D 8888 username@proxyhost.mycompany.com -N |
命令解釋:
-
參數-D
-
建立一個動態SOCKS4/5的代理通道,緊接著的是本地監聽的連接埠號碼。
-
username@proxyhost.mycompany.com
-
這個參數指定要使用ssh登入的主機以及登入的使用者名稱,這裡使用的主機和前一個參數中的主機必須是在同一個網域當中,並且能相互訪問,當然也可以是同一個機器。
-
參數-N
-
不執行遠端命令。這個參數在這裡是可選的。
因為這種方法對於辦公方面沒有什麼協助,所以也就不再多說。
延伸閱讀
- SSH Tutorial for Linux
- Secure Shell
- Port forwarding