第一部分 SSH端口轉發概述

當你在咖啡館享受免費 WiFi 的時候，有沒有想到可能有人正在竊取你的密碼及隱私信息？當你發現實驗室的防火墻阻止了你的網絡應用端口，是不是有苦難言？來看看 SSH 的端口轉發功能能給我們帶來什么好處吧！

SSH端口轉發概述

讓我們先來了解一下端口轉發的概念吧。我們知道，SSH 會自動加密和解密所有 SSH 客戶端與服務端之間的網絡數據。但是，SSH 還同時提供了一個非常有用的功能，這就是端口轉發。

它能夠將其他 TCP 端口的網絡數據通過 SSH 鏈接來轉發，并且自動提供了相應的加密及解密服務。這一過程有時也被叫做“隧道”（tunneling），這是因為 SSH 為其他 TCP 鏈接提供了一個安全的通道來進行傳輸而得名。

例如，Telnet，SMTP，LDAP 這些 TCP 應用均能夠從中得益，避免了用戶名，密碼以及隱私信息的明文傳輸。而與此同時，如果您工作環境中的防火墻限制了一些網絡端口的使用，但是允許 SSH 的連接，那么也是能夠通過將 TCP 端口轉發來使用 SSH 進行通訊。

總的來說 SSH 端口轉發能夠提供兩大功能：

加密 SSH Client 端至 SSH Server 端之間的通訊數據。

突破防火墻的限制完成一些之前無法建立的 TCP 連接。

圖 1. SSH 端口轉發

如上圖所示，使用了端口轉發之后，TCP 端口 A 與 B 之間現在并不直接通訊，而是轉發到了 SSH 客戶端及服務端來通訊，從而自動實現了數據加密并同時繞過了防火墻的限制。

第二部分 SSH本地端口轉發與遠程端口轉發

SSH本地端口轉發實例分析

我們先來看第一個例子，在實驗室里有一臺 LDAP 服務器（LdapServerHost），但是限制了只有本機上部署的應用才能直接連接此 LDAP 服務器。

如果我們由于調試或者測試的需要想臨時從遠程機器（LdapClientHost）直接連接到這個 LDAP 服務器 , 有什么方法能夠實現呢？

答案無疑是本地端口轉發了，它的命令格式是：

ssh -L <local port>:<remote host>:<remote port> <SSH hostname>

在 LdapClientHost 上執行如下命令即可建立一個 SSH 的本地端口轉發，例如：

$ ssh -L 7001:localhost:389 LdapServerHost

圖 2. 本地端口轉發

這里需要注意的是本例中我們選擇了 7001 端口作為本地的監聽端口，在選擇端口號時要注意非管理員帳號是無權綁定 1-1023 端口的，所以一般是選用一個 1024-65535 之間的并且尚未使用的端口號即可。

然后我們可以將遠程機器（LdapClientHost）上的應用直接配置到本機的 7001 端口上（而不是 LDAP 服務器的 389 端口上）。之后的數據流將會是下面這個樣子：

我們在 LdapClientHost 上的應用將數據發送到本機的 7001 端口上，

而本機的 SSH Client 會將 7001 端口收到的數據加密并轉發到 LdapServertHost 的 SSH Server 上。

SSH Server 會解密收到的數據并將之轉發到監聽的 LDAP 389 端口上，

最后再將從 LDAP 返回的數據原路返回以完成整個流程。

我們可以看到，這整個流程應用并沒有直接連接 LDAP 服務器，而是連接到了本地的一個監聽端口，但是 SSH 端口轉發完成了

剩下的所有事情，加密，轉發，解密，通訊。

這里有幾個地方需要注意：

SSH 端口轉發是通過 SSH 連接建立起來的，我們必須保持這個 SSH 連接以使端口轉發保持生效。一旦關閉了此連接，相應的端口轉發也會隨之關閉。

我們只能在建立 SSH 連接的同時創建端口轉發，而不能給一個已經存在的 SSH 連接增加端口轉發。

你可能會疑惑上面命令中的 <remote host> 為什么用 localhost，它指向的是哪臺機器呢？在本例中，它指向 LdapServertHost 。我們為什么用 localhost 而不是 IP 地址或者主機名呢？

其實這個取決于我們之前是如何限制 LDAP 只有本機才能訪問。

如果只允許 lookback 接口訪問的話，那么自然就只有 localhost 或者 IP 為 127.0.0.1 才能訪問了，而不能用真實 IP 或者主機名。

命令中的 <remote host> 和 <SSH hostname> 必須是同一臺機器么？其實是不一定的，它們可以是兩臺不同的機器。我們在后面的例子里會詳細闡述這點。

好了，我們已經在 LdapClientHost 建立了端口轉發，那么這個端口轉發可以被其他機器使用么？比如能否新增加一臺 LdapClientHost2 來直接連接 LdapClientHost 的 7001 端口？

答案是不行的，在主流 SSH 實現中，本地端口轉發綁定的是 lookback 接口，這意味著只有 localhost 或者 127.0.0.1 才能使用本機的端口轉發

其他機器發起的連接只會得到“ connection refused. ”。

好在 SSH 同時提供了 GatewayPorts 關鍵字，我們可以通過指定它與其他機器共享這個本地端口轉發。

ssh -g -L <local port>:<remote host>:<remote port> <SSH hostname>

SSH遠程端口轉發實例分析

我們來看第二個例子，這次假設由于網絡或防火墻的原因我們不能用 SSH 直接從 LdapClientHost 連接到 LDAP 服務器（LdapServertHost），但是反向連接卻是被允許的。那此時我們的選擇自然就是遠程端口轉發了。

它的命令格式是：

ssh -R <local port>:<remote host>:<remote port> <SSH hostname>

例如在 LDAP 服務器（LdapServertHost）端執行如下命令：

$ ssh -R 7001:localhost:389 LdapClientHost

圖 3. 遠程端口轉發

和本地端口轉發相比，這次的圖里，SSH Server 和 SSH Client 的位置對調了一下，但是數據流依然是一樣的。

我們在 LdapClientHost 上的應用將數據發送到本機的 7001 端口上，而本機的 SSH Server 會將 7001 端口收到的數據加密并轉發到 LdapServertHost 的 SSH Client 上。

SSH Client 會解密收到的數據并將之轉發到監聽的 LDAP 389 端口上，最后再將從 LDAP 返回的數據原路返回以完成整個流程。

看到這里，你是不是會有點糊涂了么？為什么叫本地轉發，而有時又叫遠程轉發？這兩者有什么區別？

本SSH地端口轉發與SSH遠程端口轉發的對比與分析

不錯，SSH Server，SSH Client，LdapServertHost，LdapClientHost，本地端口轉發，遠程端口轉發，

這么多的名詞的確容易讓人糊涂。

讓我們來分析一下其中的結構吧。

首先，SSH 端口轉發自然需要 SSH 連接，而 SSH 連接是有方向的，從 SSH Client 到 SSH Server 。

而我們的應用也是有方向的，比如需要連接 LDAP Server 時，LDAP Server 自然就是 Server 端，我們應用連接的方向也是從應用的 Client 端連接到應用的 Server 端。

如果這兩個連接的方向一致，那我們就說它是本地轉發。而如果兩個方向不一致，我們就說它是遠程端口轉發。

我們可以回憶上面的兩個例子來做個對照。

本地端口轉發時：

LdapClientHost 同時是應用的客戶端，也是 SSH Client，這兩個連接都從它指向 LdapServertHost（既是 LDAP 服務端，也是 SSH Server）。

遠程端口轉發時：

LdapClientHost 是應用的客戶端，但卻是 SSH Server ；而 LdapServertHost 是 LDAP 的服務端，但卻是 SSH Client 。這樣兩個連接的方向剛好相反。

另一個方便記憶的方法是

Server 端的端口都是預定義的固定端口（SSH Server 的端口 22，LDAP 的端口 389），而 Client 端的端口都是動態可供我們選擇的端口（如上述例子中選用的 7001 端口）。

如果 Server 端的兩個端口都在同一臺機器，Client 端的兩個端口都在另一臺機器上，那么這就是本地端口連接；

如果這四個端口交叉分布在兩個機器上，每臺機器各有一個 Server 端端口，一個 Client 端端口，那就是遠程端口連接。

弄清楚了兩者的區別之后，再來看看兩者的相同之處。

如果你所在的環境下，既允許 LdapClientHost 發起 SSH 連接到 LdapServerHost，也允許 LdapServerHost 發起 SSH 連接到 LdapClientHost 。

那么這時我們選擇本地轉發或遠程轉發都是可以的，能完成一樣的功能。

接著讓我們來看個進階版的端口轉發。

我們之前涉及到的各種連接 / 轉發都只涉及到了兩臺機器，還記得我們在本地轉發中提到的一個問題么？

本地端口轉發命令中的 <remote host> 和 <SSH hostname> 可以是不同的機器么？

ssh -L <local port>:<remote host>:<remote port> <SSH hostname>

答案是可以的！讓我們來看一個涉及到四臺機器 (A,B,C,D) 的例子。

圖 4. 多主機轉發應用

在 SSH Client(C) 執行下列命令來建立 SSH 連接以及端口轉發：

$ ssh -g -L 7001:<B>:389 <D>

然后在我們的應用客戶端（A）上配置連接機器（C ）的 7001 端口即可。

注意我們在命令中指定了“ -g ”參數以保證機器（A）能夠使用機器（C）建立的本地端口轉發。

而另一個值得注意的地方是，在上述連接中，（A）<-> (C) 以及 (B)<->(D) 之間的連接并不是安全連接，它們之間沒有經過 SSH 的加密及解密。

如果他們之間的網絡并不是值得信賴的網絡連接，我們就需要謹慎使用這種連接方式了。

第三部分 其他類型的端口轉發

SSH動態端口轉發實例分析

恩，動態轉發，聽上去很酷。

當你看到這里時，有沒有想過我們已經討論過了本地轉發，遠程轉發，但是前提都是要求有一個固定的應用服務端的端口號，

例如前面例子中的 LDAP 服務端的 389 端口。那如果沒有這個端口號怎么辦？等等，

什么樣的應用會沒有這個端口號呢？嗯，比如說用瀏覽器進行 Web 瀏覽，比如說 MSN 等等。

當我們在一個不安全的 WiFi 環境下上網，用 SSH 動態轉發來保護我們的網頁瀏覽及 MSN 信息無疑是十分必要的。讓我們先來看一下動態轉發的命令格式：

$ ssh -D <local port> <SSH Server>

例如：

$ ssh -D 7001 <SSH Server>

圖 5. 動態端口轉發

似乎很簡單，我們依然選擇了 7001 作為本地的端口號，其實在這里 SSH 是創建了一個 SOCKS 代理服務。來看看幫助文檔中對 -D 參數的描述：

-D port 
 This works by allocating a socket to listen to port on the local 
 side, and whenever a connection is made to this port, the con- 
 nection is forwarded over the secure channel, and the applica- 
 tion protocol is then used to determine where to connect to from 
 the remote machine.  Currently the SOCKS4 and SOCKS5 protocols 
 are supported, and ssh will act as a SOCKS server.  Only root 
 can forward privileged ports.  Dynamic port forwardings can also 
 be specified in the configuration file.

之后的使用就簡單了，我們可以直接使用 localhost:7001 來作為正常的 SOCKS 代理來使用，直接在瀏覽器或 MSN 上設置即可。

在 SSH Client 端無法訪問的網站現在也都可以正常瀏覽。而這里需要值得注意的是，此時 SSH 所包護的范圍只包括從瀏覽器端（SSH Client 端）到 SSH Server 端的連接，并不包含從 SSH Server 端 到目標網站的連接。

如果后半截連接的安全不能得到充分的保證的話，這種方式仍不是合適的解決方案。

X 協議端口轉發實例分析

好了，讓我們來看最后一個例子 - X 協議轉發。

我們日常工作當中，可能會經常會遠程登錄到 Linux/Unix/Solaris/HP 等機器上去做一些開發或者維護，也經常需要以 GUI 方式運行一些程序，比如要求圖形化界面來安裝 DB2/WebSphere 等等。

這時候通常有兩種選擇來實現：VNC 或者 X 窗口，讓我們來看看后者。

使用 X 窗口通常需要分別安裝：X Client 和 X Server 。

在本例中我們的 X Client 就是所訪問的遠程 Linux/Unix/Solaris/HP，而我們的 X Server 則是發起訪問的本地機器（例如你面前正在使用的筆記本或臺式機）。

把 X Client 端的 X 窗口顯示在 X Server 端需要先行在 X Client 端指定 X Server 的位置，命令格式如下：

export DISPLAY=<X Server IP>:<display #>.<virtual #>

例如：

export DISPLAY=myDesktop:1.0

然后直接運行 X 應用即可，X 窗口就會自動在我們的本地端打開。

一切運行正常，但是，這時候 IT 部門突然在遠程 Linux/Unix/Solaris/HP 前面加了一道防火墻。

非常不幸的是，X 協議并不在允許通過的列表之內。怎么辦？只能使用 VNC 了么？不，其實只要使用了 SSH 端口轉發即可通過，同時也對 X 通訊數據做了加密，真是一舉兩得。

（當然，使用此方法前最好先咨詢相關 IT 部門是否符合相應的安全條例，以免造成違規操作。）

建立命令也很簡單，直接從本地機器（X Server 端）發起一個如下的 SSH 連接即可：

$ ssh -X <SSH Server>

圖 5. X 轉發

建立連接之后就可以直接運行遠程的 X 應用。注意建立 X 轉發之后會自動設置 DISPLAY 環境變量，通常會被設置成localhost:10.0，我們無需也不應該在連接之后再進行修改此環境變量。

一個比較常見的場景是，我們的本地機器是 Windows 操作系統，這時可以選擇開源的 XMing 來作為我們的 XServer，而 SSH Client 則可以任意選擇了，例如 PuTTY，Cygwin 均可以配置 訪問 SSH 的同時建立 X 轉發。

第四部分 SSH端口轉發總結

至此，我們已經完成了本地端口轉發，遠程端口轉發，動態端口轉發以及 X 轉發的介紹。

回顧起來，總的思路是通過將 TCP 連接轉發到 SSH 通道上以解決數據加密以及突破防火墻的種種限制。

對一些已知端口號的應用，例如 Telnet/LDAP/SMTP，我們可以使用本地端口轉發或者遠程端口轉發來達到目的。

動態端口轉發則可以實現 SOCKS 代理從而加密以及突破防火墻對 Web 瀏覽的限制。

對于 X 應用，無疑是 X 轉發最為適用了。雖然每一部分我們都只是簡單的介紹了一下，

但如果能靈活應用這些技巧，相信對我們的日常生活 / 工作也是會有所幫助的。

更多關于SSH端口轉發的文章請點擊下面的相關文章