一种通过SSH协定结构隧道达成数据加密传输的要领
OpenSSH在实现时,给我们供给一个简略好用的Geek功能——端口转发。说是一个功能,其实是两个用法,一称之为当地端口转发,一称之为长途端口转发。
SSH端口转发其实就是相似iptables的端口数据转发功能,也即是将请求在某一个指定端口的数据,转发到另外一个指定的端口上。呵呵,很抽象啊~
下面说具体的用法:
下文的两个注解:当地:指施行SSH下令的发起端;长途:SSH下令的连贯端。施行下令的环境要基于*nix或者是可以实现SSH下令结果的工具(如putty相干),服务所在的环境不限服务类型、不限操纵系统。
SSH端口转发之一:当地端口转发
当地端口转发是指通过SSH下令,在当地服务器Listen一个端口(如8000),然后将访问这个端口的数据请求,转发到长途服务器的某一个服务端口上(如3306)。
有人或许会说废话,难道我不能直接连贯么?还用你这个?
其实这个有两个场景或许你没有想到:1、当需要数据加密传输时;2、当服务端口只能通过跳板机不能直接访问时,若有些主机是没有外网IP的。这两个场景,直接连贯是不可以的。
举例注明:
假如我有当地虚拟机host1(192.168.1.100)工作机器,服务器host2(54.100.1.2)用作跳板机,服务器host3(10.0.0.9)上脸部署得有MySQL服务(端口为3306)。host3是对外不开放。host1与host2可以通过ssh直连。host2与host3之间局域网,防火墙互通。
当我在host1上面的web服务器想访问host3上面的MySQL服务时,直接访问是确定不行的。由于不通。此时,我们就可以通过SSH的端口转发功能实现。
在host1上面施行如下下令:
#ssh -CNfg -L 8000:10.0.0.9:3306 dbfen@54.100.1.2
然后输入host2上dbfen账号的SSH密码。此时,我们在host1上,通过访问当地的192.168.1.100:8000端口,即是访问的host3上面的3306端口。host3上的MySQL授权,针对host3(10.0.0.9)进行授权即可。
由于是通过的SSH长链接,这样就可能达到数据的转发及数据的加密传输。
怎么样?是不是非常赞~
PS:大家用的myentunnel翻墙工具,就是用的plink工具来实现的当地端口转发~~~
SSH端口转发之二:长途端口转发
长途端口转发是指通过SSH下令,在长途服务器Listen一个端口(如8000),然后将访问这个端口的数据请求,转发到当地的某一个服务端口上(如3306)。
跟当地端口转发恰好反着~
举例注明:
假如我有当地虚拟机host1(192.168.1.100)工作机器,服务器host2(54.100.1.2)用作跳板机,企业开发机host3(192.168.117.100)上脸部署得有MySQL服务(端口为3306)。host3是开发机,无公网IP,可访问外网。host1与host2可以通过ssh直连。host3可以直连上host2。
此刻我在家里,当我想访问企业的开发机时,开发、测试时,抠门的老板又没有部署VPN,绝逼是不可能的。。。是的。。。不可能的。。。可是该死的老板(小编别让DBfen老板看见了哈)又要求解决题目~~~泪奔啊~~~苦逼的攻城狮~~~肿么办~~~难道要我半夜爬去企业吗??????
天不灭我!我有SSH长途端口转发!
在脱离企业前,在企业开发机host3上施行下令如下:
#ssh -CNfg -R 8022:192.168.117.100:22 dbfen@54.100.1.2
然后输入host2上dbfen账号的SSH密码。此时,我在家、我在出差、我在飞机上、我在海上,只有我能够上网、能够上host2,哈哈,直接SSH去host2,然后在host2上,输入下面的下令:
# ssh root@127.0.0.1 -p 8022
输入host3上root账号的SSH密码~开发机,我来啦~~~老板,我正在解决题目,我不用去企业的,我可以很快解决题目的啦~~~
有没有很开心?
额,等等,你这个,还有一点儿题目啊,我host2服务器上面还得开放host2的SSH端口,host2上面还有重要数据~此刻黑阔蝈蝈好凶的~好惊险的哟~~~亲,有解决办法,附加一条我们的当地端口转发马上解决题目,在host2上施行下面的下令
# ssh -CNfg -L 8024:127.0.0.1:8022 dbfen@54.100.1.2
然后输入host2上dbfen账号的SSH密码。今后在家里、在海里、在天上,我只需要直接访问54.100.1.2:8024即可主动访问上host3上面的22端口,不再需要再登陆上host2(可以把host2上除8024外的所有端口全封了),然后登陆host3了~~~
怎么样,有没有很屌?咦,感觉这个功能在哪儿见过啊~这个东西我在哪儿见过。没错,花生壳代理!这就是不一样实现啦!
下班回家~~~偶们也可以在家工作了~~~
等等…
既然大家这么嗨,我再给大家说一个利用场景,出过差的蝈蝈,有没有碰到这样的状况:当某个功能或者东西你不熟知时,你需要求助于相干同事,而客户的服务器又不让长途登陆,这个同事在迢遥的天边。。。咋办呢,让丫飞过来?预计老板不让。哈,我有QQ协助~~~
哈~你真2,QQ长途协助也是人用的么?推迟得想让人发狂~
有办法的~
带上你的笔记本电脑(host1),去客户的机房,一根网线接入客户的服务器(host2),wifi连贯上外网,找一台临时的外网服务器(host3),操纵如下:
在host3上面施行如下下令:
# ssh -CNfg -L 8022:127.0.0.1:8021 root@127.0.0.1
输入host3的root密码
在host1上面施行如下下令:
# ssh -CNfg -R 8021:host2:22 root@host3
输入host3的root密码
然后让同事丫的赶快连贯host3:8022客户服务器,给客户解决题目!!!
