什么是SSH隧道
首先看下面這張圖,我們所面臨的大部分情況都和它類似�����。我們的電腦在右上角���,通過(guò)公司帶有防火墻功能的路由器接入互聯(lián)網(wǎng)(當(dāng)然可能還有交換機(jī)什么的在中間連接著你和路由器����,但是在我們的問題中交換機(jī)并不起到什么關(guān)鍵性的作用)。右下腳的部分是一個(gè)網(wǎng)站的服務(wù)器���,它是我們公司防火墻策略的一部分,也就是說(shuō)公司不希望我們?cè)L問這個(gè)服務(wù)器��。在右上角還有一臺(tái)機(jī)器�,它也是屬于我們的。但是這臺(tái)機(jī)器并不在我們公司里面����,換句話說(shuō)他不受到公司防火墻的限制�����。最后也是最重要的一點(diǎn)是,我們能夠在公司通過(guò)互聯(lián)網(wǎng)直接訪問這臺(tái)機(jī)器���。或者說(shuō)這臺(tái)位于公司防火墻外面的機(jī)器需要擁有一個(gè)獨(dú)立的互聯(lián)網(wǎng)IP��,同時(shí)公司的防火墻規(guī)則不會(huì)屏蔽這臺(tái)機(jī)器�����,并且這臺(tái)機(jī)器運(yùn)行著一個(gè)OpenSSH服務(wù)器���。
現(xiàn)在�����,我們清楚地知道了自己所處的網(wǎng)絡(luò)環(huán)境。并且不難理解我們?cè)诠緹o(wú)法訪問那個(gè)服務(wù)器的原因是:線路A-B-C上A-B之間的防火墻屏蔽了對(duì)那個(gè)服務(wù)器的訪問。與此同時(shí)�,我們也很快注意到��,線路A-B-D之間、D-C之間是不受阻礙的�����。相信你已經(jīng)想到了���,在A-B之間的防火墻不會(huì)屏蔽對(duì)機(jī)器d的訪問��。因此我們可以通過(guò)機(jī)器d建立一個(gè)通道A-B-D-C��,從而訪問到機(jī)器c上的數(shù)據(jù)。
這條通道可以用很多技術(shù)來(lái)建立���,這里我們僅僅介紹如何使用SSH服務(wù)器來(lái)建立這樣一個(gè)通道-他被稱為SSH隧道。
如何建立本地SSH隧道
在我們計(jì)劃建立一個(gè)本地SSH隧道之前��,我們必須清楚下面這些數(shù)據(jù):
中間服務(wù)器d的IP地址
要訪問服務(wù)器c的IP地址
要訪問服務(wù)器c的端口
現(xiàn)在�����,我們把上面這張圖變得具體一些����,給這些機(jī)器加上IP地址����。并且根據(jù)下面這張圖列出我們的計(jì)劃:
需要訪問234.234.234.234的FTP服務(wù),也就是端口21
中間服務(wù)器是123.123.123.123
現(xiàn)在我們使用下面這條命令來(lái)達(dá)成我們的目的
ssh -N -f -L 2121:234.234.234.234:21 123.123.123.123
ftp localhost:2121 # 現(xiàn)在訪問本地2121端口,就能連接234.234.234.234的21端口了
這里我們用到了SSH客戶端的三個(gè)參數(shù)����,下面我們一一做出解釋:
-N 告訴SSH客戶端,這個(gè)連接不需要執(zhí)行任何命令。僅僅做端口轉(zhuǎn)發(fā)
-f 告訴SSH客戶端在后臺(tái)運(yùn)行
-L 做本地映射端口����,被冒號(hào)分割的三個(gè)部分含義分別是
需要使用的本地端口號(hào)
需要訪問的目標(biāo)機(jī)器IP地址(IP: 234.234.234.234)
需要訪問的目標(biāo)機(jī)器端口(端口: 21)
最后一個(gè)參數(shù)是我們用來(lái)建立隧道的中間機(jī)器的IP地址(IP: 123.123.123.123)
我們?cè)僦貜?fù)一下-L參數(shù)的行為��。-L X:Y:Z的含義是,將IP為Y的機(jī)器的Z端口通過(guò)中間服務(wù)器映射到本地機(jī)器的X端口。
在這條命令成功執(zhí)行之后�,我們已經(jīng)具有繞過(guò)公司防火墻的能力��,并且成功訪問到了我們喜歡的一個(gè)FTP服務(wù)器了。
如何建立遠(yuǎn)程SSH隧道
通過(guò)建立本地SSH隧道,我們成功地繞過(guò)防火墻開始下載FTP上的資源了。那么當(dāng)我們?cè)诩依锏臅r(shí)候想要察看下載進(jìn)度怎么辦呢?大多數(shù)公司的網(wǎng)絡(luò)是通過(guò)路由器接入互聯(lián)網(wǎng)的,公司內(nèi)部的機(jī)器不會(huì)直接與互聯(lián)網(wǎng)連接�����,也就是不能通過(guò)互聯(lián)網(wǎng)直接訪問����。通過(guò)線路D-B-A訪問公司里的機(jī)器a便是不可能的。也許你已經(jīng)注意到了��,雖然D-B-A這個(gè)方向的連接不通�����,但是A-B-D這個(gè)方向的連接是沒有問題的���。那么�����,我們能否利用一條已經(jīng)連接好的A-B-D方向的連接來(lái)完成D-B-A方向的訪問呢?答案是肯定的��,這就是遠(yuǎn)程SSH隧道的用途���。
與本地SSH一樣����,我們?cè)诮⑦h(yuǎn)程SSH隧道之前要清楚下面幾個(gè)參數(shù):
需要訪問內(nèi)部機(jī)器的遠(yuǎn)程機(jī)器的IP地址(這里是123.123.123.123)
需要讓遠(yuǎn)程機(jī)器能訪問的內(nèi)部機(jī)器的IP地址(這里因?yàn)槭窍氚驯緳C(jī)映射出去���,因此IP是127.0.0.1)
需要讓遠(yuǎn)程機(jī)器能訪問的內(nèi)部機(jī)器的端口號(hào)(端口:22)
在清楚了上面的參數(shù)后,我們使用下面的命令來(lái)建立一個(gè)遠(yuǎn)程SSH隧道
ssh -N -f -R 2222:127.0.0.1:22 123.123.123.123
現(xiàn)在���,在IP是123.123.123.123的機(jī)器上我們用下面的命令就可以登陸公司的IP是192.168.0.100的機(jī)器了。
ssh -p 2222 localhost
-N�����,-f 這兩個(gè)參數(shù)我們已經(jīng)在本地SSH隧道中介紹過(guò)了�。我們現(xiàn)在重點(diǎn)說(shuō)說(shuō)參數(shù)-R。該參數(shù)的三個(gè)部分的含義分別是:
遠(yuǎn)程機(jī)器使用的端口(2222)
需要映射的內(nèi)部機(jī)器的IP地址(127.0.0.1)
需要映射的內(nèi)部機(jī)器的端口(22)
例如:-R X:Y:Z 就是把我們內(nèi)部的Y機(jī)器的Z端口映射到遠(yuǎn)程機(jī)器的X端口上��。
建立SSH隧道的幾個(gè)技巧
自動(dòng)重連
隧道可能因?yàn)槟承┰驍嚅_���,例如:機(jī)器重啟��,長(zhǎng)時(shí)間沒有數(shù)據(jù)通信而被路由器切斷等等�。因此我們可以用程序控制隧道的重新連接��,例如一個(gè)簡(jiǎn)單的循環(huán)或者使用 djb’s daemontools . 不管用哪種方法�����,重連時(shí)都應(yīng)避免因輸入密碼而卡死程序。關(guān)于如何安全的避免輸入密碼的方法�,請(qǐng)參考我的 如何實(shí)現(xiàn)安全的免密碼ssh登錄 ����。這里請(qǐng)注意���,如果通過(guò)其他程序控制隧道連接�,應(yīng)當(dāng)避免將SSH客戶端放到后臺(tái)執(zhí)行���,也就是去掉-f參數(shù)�����。
保持長(zhǎng)時(shí)間連接
有些路由器會(huì)把長(zhǎng)時(shí)間沒有通信的連接斷開�����。SSH客戶端的TCPKeepAlive選項(xiàng)可以避免這個(gè)問題的發(fā)生,默認(rèn)情況下它是被開啟的����。如果它被關(guān)閉了��,可以在ssh的命令上加上-o TCPKeepAlive=yes來(lái)開啟。
另一種方法是�,去掉-N參數(shù)�����,加入一個(gè)定期能產(chǎn)生輸出的命令。例如: top或者vmstat。下面給出一個(gè)這種方法的例子:
ssh -R 2222:localhost:22 123.123.123.123 "vmstat 30"
檢查隧道狀態(tài)
有些時(shí)候隧道會(huì)因?yàn)橐恍┰蛲ㄐ挪粫扯ㄋ溃纾河捎趥鬏敂?shù)據(jù)量太大���,被路由器帶入stalled狀態(tài)。這種時(shí)候,往往SSH客戶端并不退出��,而是卡死在那里����。一種應(yīng)對(duì)方法是,使用SSH客戶端的ServerAliveInterval和ServerAliveCountMax選項(xiàng)�。ServerAliveInterval會(huì)在隧道無(wú)通信后的一段設(shè)置好的時(shí)間后發(fā)送一個(gè)請(qǐng)求給服務(wù)器要求服務(wù)器響應(yīng)�。如果服務(wù)器在ServerAliveCountMax次請(qǐng)求后都沒能響應(yīng)�����,那么SSH客戶端就自動(dòng)斷開連接并退出,將控制權(quán)交給你的監(jiān)控程序。這兩個(gè)選項(xiàng)的設(shè)置方法分別是在ssh時(shí)加入-o ServerAliveInterval=n和-o ServerAliveCountMax=m。其中n, m可以自行定義����。
如何將端口綁定到外部地址上
使用上面的方法����,映射的端口只能綁定在127.0.0.1這個(gè)接口上�����。也就是說(shuō)�����,只能被本機(jī)自己訪問到�����。如何才能讓其他機(jī)器訪問這個(gè)端口呢?我們可以把這個(gè)映射的端口綁定在0.0.0.0的接口上�,方法是加上參數(shù)-b 0.0.0.0����。同時(shí)還需要打開SSH服務(wù)器端的一個(gè)選項(xiàng)-GatewayPorts�。默認(rèn)情況下它應(yīng)當(dāng)是被打開的。如果被關(guān)閉的話�,可以在/etc/sshd_config中修改GatewayPorts no為GatewayPorts yes來(lái)打開它����。
如何尋找中間服務(wù)器
如果你家里使用ADSL上網(wǎng)���,多半你會(huì)比較幸運(yùn)�����。一般的ADSL(例如 聯(lián)通 的ADSL)都是有互聯(lián)網(wǎng)地址的。你只需要在家里的路由器上一臺(tái)裝有OpenSSH server機(jī)器的SSH端口映射出去即可��。同時(shí)一些提供SSH訪問的虛擬主機(jī)也可以用于這一用途�����。例如: Hostmonser 或者 Dreamhost .
通過(guò)SSH隧道建立SOCKS服務(wù)器
如果我們需要借助一臺(tái)中間服務(wù)器訪問很多資源�����,一個(gè)個(gè)映射顯然不是高明的辦法(事實(shí)上,高明確實(shí)沒有用這個(gè)方法)�。幸好�,SSH客戶端為我們提供了通過(guò)SSH隧道建立SOCKS服務(wù)器的功能���。
通過(guò)下面的命令我們可以建立一個(gè)通過(guò)123.123.123.123的SOCKS服務(wù)器�����。
ssh -N -f -D 1080 123.123.123 # 將端口綁定在127.0.0.1上
ssh -N -f -D 0.0.0.0:1080 123.123.123.123 # 將端口綁定在0.0.0.0上
通過(guò)SSH建立的SOCKS服務(wù)器使用的是SOCKS5協(xié)議���,在為應(yīng)用程序設(shè)置SOCKS代理的時(shí)候要特別注意�。
總結(jié)
至此���,我們已經(jīng)對(duì)如何利用SSH隧道有一個(gè)基本的認(rèn)識(shí)了?��,F(xiàn)在�����,文章開始時(shí)的那些問題應(yīng)該迎刃而解了吧。這里要特別說(shuō)一下�����,由于SSH隧道也使用了SSH加密協(xié)議��,因此是不會(huì)被防火墻上的內(nèi)容過(guò)濾器監(jiān)控到的����。也就是說(shuō)一切在隧道中傳輸?shù)臄?shù)據(jù)都是被加密的����。當(dāng)然,離開隧道后的數(shù)據(jù)還是會(huì)保持自己原有的樣子,沒有加密的數(shù)據(jù)還是會(huì)被后續(xù)的路由設(shè)備監(jiān)控到。