文章轉自:http://www.dbabeta.com/2010/linux-port-forward-with-ssh.html
通常情況下兩個不同的網絡之間總會開放某一些特定的端口用於通訊使用,而SSH所使用的22端口通常就在開放之列。基於SSH的端口轉發就是利用SSH作為中間的代理,達到繞過兩個網絡之間的限制,順利的進行任意的端口的訪問。
端口轉發可以分為三種,正向端口轉發,反向端口轉發和動態端口轉發。
為了演示這三種端口轉發方式的用法我們先假設存在有2個網域Office和Prod,在網域Office中有兩個主機A和B,在網域Prod中兩個主機C和D,這兩個網域之間除了主機A能夠訪問C的22端口之外,其他所有的訪問都被網絡規則所禁止,也就是說A機器無法訪問C的除22之外的所有其他端口,也無法訪問到D主機;而主機C和D根本就無法訪問A或者B中的任意一台主機。
任務一:正向端口轉發
現在開始我們的第一個任務:假設主機D上面安裝有數據庫服務,監聽的端口是8888,如果我想通過Office域中的主機A直接訪問D主機中的數據庫那該怎么辦呢?這就要用到SSH的正向端口功能了。在這先要說明一下,在Linux中,所有的端口轉發的操作都可以通過使用自帶的工具ssh來完成。
完成任務一的命令很簡單,如下:
1 ssh -L 8000:host-d.prod.mycompany.com:8888 oracle@host-c.prod.mycompany.com -N
現在解釋一下上面的命令:
- 參數-L
- 表示在本地開啟監聽的端口,后面緊跟的參數格式為::,表示將本地的8000端口轉發到遠程主機D的8888端口。
- orainst@host-c.prod.mycompany.com
- 這個參數指定要使用ssh登錄的主機以及登錄的用戶名,這里使用的主機和前一個參數中的主機必須是在同一個網域當中,並且能相互訪問,當然也可以是同一個機器。
- 參數-N
- 不執行遠程的命令。這個參數在這里是可選的。
現在在主機A上面運行上面的命令之后輸入正確的密碼,然后我們先登錄主機A查看一下當前端口的狀態:
1 oracle@host-a[orcl]:~$ netstat -natp|grep 8000 2 (Not all processes could be identified, non-owned process info 3 will not be shown, you would have to be root to see it all.) 4 tcp 0 0 127.0.0.1:8000 0.0.0.0:* LISTEN 3767/ssh 5 tcp 0 0 ::1:8000 :::* LISTEN 3767/ssh
可以看到在主機A上已經存在8000端口准備隨時接受連接了,不過要注意的是這里監聽的網絡是127.0.0.1(::1),也就是說這種連接僅限於本地操作。
接下來就是配置下TNSNAMES了,配置如下:
1 orcl= 2 (DESCRIPTION= 3 (ENABLE=BROKEN) 4 (ADDRESS_LIST= 5 (FAILOVER=ON) 6 (LOAD_BALANCE=YES) 7 (ADDRESS=(PROTOCOL=TCP)(HOST=localhost)(PORT=8000)) 8 ) 9 (CONNECT_DATA= 10 (SID=orcl) 11 ) 12 )
然后tnsping測試一下:
1 oracle@host-a[orcl]:~$ tnsping orcl 2 3 TNS Ping Utility for Linux: Version 11.1.0.7.0 - Production on 05-JUL-2010 09:13:25 4 5 Copyright (c) 1997, 2008, Oracle. All rights reserved. 6 7 Used parameter files: 8 9 Used TNSNAMES adapter to resolve the alias 10 Attempting to contact (DESCRIPTION= (ENABLE=BROKEN) (ADDRESS_LIST= (FAILOVER=ON) (LOAD_BALANCE=YES) (ADDRESS=(PROTOCOL=TCP)(HOST=localhost)(PORT=8000))) (CONNECT_DATA= (SID=orcl))) 11 OK (340 msec)
大功告成。
任務二:反向端口轉發
因為網域Prod不能以任何的方式訪問網域Office,假設這兩個網域所處的物理位置完全的不同,那當那一天處於網域Prod的時候又想操作處於網域Office中的主機A,那怎么辦呢?這就是要用到反向端口轉發的時候了。
反向端口轉發的基本思想就是從主機A建立到主機C的ssh連接的同時在主機C上打開一個端口可以反向連接到主機B上面的某一個端口,當然從主機控制上面來說連接到主機B的22(ssh端口)是最實惠的了,現在要做的就是在主機A上面運行如下的命令:
1 ssh -R 8888:localhosthost-b.office.mycompany.com:22 oracle@host-c.prod.mycompany.com -N
同樣的,先解釋下上面的命令:
- 參數-R
- 創建一個反向的端口轉發,后面緊跟的參數格式為 ::,這里監聽的端口是8888,反向連接要到C主機原來根本無法訪問的主機B的22端口。
- oracle@host-c.prod.mycompany.com
- 這個參數指定要使用ssh登錄的主機以及登錄的用戶名,這里使用的主機和前一個參數中的主機必須是在同一個網域當中,並且能相互訪問,當然也可以是同一個機器。
- 參數-N
- 不執行遠程的命令。這個參數在這里是可選的。
在主機A上面執行上面的命令成功之后就可以登錄到主機C檢查一下效果了,首先是檢查8888端口的開發狀態:
1 oracle@host-c:~$ netstat -natp |grep 8888 2 (No info could be read for "-p": geteuid()=1001 but you should be root.) 3 tcp 0 0 127.0.0.1:8888 0.0.0.0:* LISTEN - 4 tcp6 0 0 ::1:8888 :::* LISTEN -
然后就是測試下這個端口的可用性,執行如下的命令:
1 oracle@host-c:~$ ssh -p 8888 oracle@localhost 2 Password: 3 Last login: Mon Jul 5 02:34:50 2010 from 172.24.43.103 4 5 oracle@host-b.office$ hostname 6 host-b.office.mycompany.com 7 oracle@host-b.office$
至此現在已經成功的使用唯一開放的ssh端口建立了一個本來是完全不可能的連接。這種方法是非常有用的,具體在什么時候用就靠大家的發揮了。
任務三:動態端口轉發
動態端口轉發實際上是建立一個ssh加密的SOCKS4/5代理通道,任何支持SOCKS4/5協議的程序都可以使用這個加密的通道來進行代理訪問,現在這種方法最常用的地方就是翻牆了,使用的方法也很簡單,命令如下:
1 ssh -D 8888 username@proxyhost.mycompany.com -N
命令解釋:
- 參數-D
- 建立一個動態的SOCKS4/5的代理通道,緊接着的是本地監聽的端口號。
- username@proxyhost.mycompany.com
- 這個參數指定要使用ssh登錄的主機以及登錄的用戶名,這里使用的主機和前一個參數中的主機必須是在同一個網域當中,並且能相互訪問,當然也可以是同一個機器。
- 參數-N
- 不執行遠程的命令。這個參數在這里是可選的。
因為這種方法對於辦公方面沒有什么幫助,所以也就不再多說。