如何在Fedora上使用SSH端口轉發
本篇內容介紹了“如何在Fedora上使用SSH端口轉發”的有關知識�,在實際案例的操作過程中�����,不少人都會遇到這樣的困境��,接下來就讓小編帶領大家學習一下如何處理這些情況吧��!希望大家仔細閱讀����,能夠學有所成���!
關于端口
標準 Linux 系統已分配了一組網絡端口�����,范圍是 0 - 65535��。系統會保留 0 - 1023 的端口以供系統使用����。在許多系統中�,你不能選擇使用這些低端口號�����。通常有幾個端口用于運行特定的服務�����。你可以在系統的 /etc/services 文件中找到這些定義�����。
你可以認為網絡端口是類似的物理端口或可以連接到電纜的插孔����。端口可以連接到系統上的某種服務��,類似物理插孔后面的接線���。一個例子是 Apache Web 服務器(也稱為 httpd)����。對于 HTTP 非安全連接�,Web 服務器通常要求在主機系統上使用端口 80��,對于 HTTPS 安全連接通常要求使用 443�����。
當你連接到遠程系統(例如���,使用 Web 瀏覽器)時��,你是將瀏覽器“連接”到你的主機上的端口��。這通常是一個隨機的高端口號�����,例如 54001��。你的主機上的端口連接到遠程主機上的端口(例如 443)來訪問其安全的 Web 服務器����。
那么�����,當你有這么多可用端口時�����,為什么還要使用端口轉發呢��?這是 Web 開發人員生活中的幾種常見情況�����。
本地端口轉發
想象一下��,你正在名為 remote.example.com 的遠程系統上進行 Web 開發�。通常���,你是通過 ssh 進入此系統的�����,但是它位于防火墻后面�����,而且該防火墻很少允許其他類型的訪問�����,并且會阻塞大多數其他端口�。要嘗試你的網絡應用�,能夠使用瀏覽器訪問遠程系統會很有幫助���。但是����,由于使用了討厭的防火墻���,你無法通過在瀏覽器中輸入 URL 的常規方法來訪問它����。
本地轉發使你可以通過 ssh 連接來建立可通過遠程系統訪問的端口��。該端口在系統上顯示為本地端口(因而稱為“本地轉發”)�。
假設你的網絡應用在 remote.example.com 的 8000 端口上運行�。要將那個系統的 8000 端口本地轉發到你系統上的 8000 端口���,請在開始會話時將 -L 選項與 ssh 結合使用:
$ ssh -L 8000:localhost:8000 remote.example.com
等等��,為什么我們使用 localhost 作為轉發目標�����?這是因為從 remote.example.com 的角度來看�,你是在要求主機使用其自己的端口 8000�。(回想一下�����,任何主機通?����?梢酝ㄟ^網絡連接 localhost 而連接到自身���。)現在那個端口連接到你系統的 8000 端口了�����。ssh 會話準備就緒后���,將其保持打開狀態�,然后可以在瀏覽器中鍵入 http://localhost:8000 來查看你的 Web 應用?����,F在��,系統之間的流量可以通過 ssh 隧道安全地傳輸���!
如果你有敏銳的眼睛�,你可能已經注意到了一些東西�。如果我們要 remote.example.com 轉發到與 localhost 不同的主機名怎么辦��?如果它可以訪問該網絡上另一個系統上的端口����,那么通?���?梢酝瑯虞p松地轉發該端口�����。例如����,假設你想訪問也在該遠程網絡中的 db.example.com 的 MariaDB 或 MySQL 服務��。該服務通常在端口 3306 上運行���。因此����,即使你無法 ssh 到實際的 db.example.com 主機����,你也可以使用此命令將其轉發:
$ ssh -L 3306:db.example.com:3306 remote.example.com
現在�����,你可以在 localhost 上運行 MariaDB 命令�����,而實際上是在使用 db.example.com 主機����。
遠程端口轉發
遠程轉發讓你可以進行相反操作��。想象一下���,你正在為辦公室的朋友設計一個 Web 應用����,并想向他們展示你的工作����。不過�,不幸的是�,你在咖啡店里工作��,并且由于網絡設置��,他們無法通過網絡連接訪問你的筆記本電腦�����。但是�����,你同時使用著辦公室的 remote.example.com 系統�,并且仍然可在這里登錄���。你的 Web 應用似乎在本地 5000 端口上運行良好�����。
遠程端口轉發使你可以通過 ssh 連接從本地系統建立端口的隧道���,并使該端口在遠程系統上可用���。在開始 ssh 會話時�,只需使用 -R 選項:
$ ssh -R 6000:localhost:5000 remote.example.com
現在����,當在公司防火墻內的朋友打開瀏覽器時��,他們可以進入 http://remote.example.com:6000 查看你的工作���。就像在本地端口轉發示例中一樣�����,通信通過 ssh 會話安全地進行�。
默認情況下����,sshd 守護進程運行在設置的主機上�,因此只有該主機可以連接它的遠程轉發端口���。假設你的朋友希望能夠讓其他 example.com 公司主機上的人看到你的工作��,而他們不在 remote.example.com 上���。你需要讓 remote.example.com 主機的所有者將以下選項之一添加到 /etc/ssh/sshd_config 中:
GatewayPorts yes # 或GatewayPorts clientspecified
第一個選項意味著 remote.example.com 上的所有網絡接口都可以使用遠程轉發的端口����。第二個意味著建立隧道的客戶端可以選擇地址����。默認情況下����,此選項設置為 no��。
使用此選項����,你作為 ssh 客戶端仍必須指定可以共享你這邊轉發端口的接口�。通過在本地端口之前添加網絡地址范圍來進行此操作�。有幾種方法可以做到��,包括:
$ ssh -R *:6000:localhost:5000 # 所有網絡$ ssh -R 0.0.0.0:6000:localhost:5000 # 所有網絡$ ssh -R 192.168.1.15:6000:localhost:5000 # 單個網絡$ ssh -R remote.example.com:6000:localhost:5000 # 單個網絡
其他注意事項
請注意�����,本地和遠程系統上的端口號不必相同�。實際上�����,有時你甚至可能無法使用相同的端口�����。例如��,普通用戶可能不會在默認設置中轉發到系統端口�����。
另外���,可以限制主機上的轉發����。如果你需要在聯網主機上更嚴格的安全性�,那么這你來說可能很重要�����。 sshd 守護程進程的 PermitOpen 選項控制是否以及哪些端口可用于 TCP 轉發����。默認設置為 any��,這讓上面的所有示例都能正常工作���。要禁止任何端口轉發�,請選擇 none��,或僅允許的特定的“主機:端口”��。有關更多信息���,請在手冊頁中搜索 PermitOpen 來配置 sshd 守護進程:
$ man sshd_config
最后��,請記住��,只有在 ssh 會話處于打開狀態時才會端口轉發���。如果需要長時間保持轉發活動���,請嘗試使用 -N 選項在后臺運行會話���。確??刂婆_已鎖定��,以防止在你離開控制臺時其被篡奪�����。
“如何在Fedora上使用SSH端口轉發”的內容就介紹到這里了��,感謝大家的閱讀�。如果想了解更多行業相關的知識可以關注億速云網站����,小編將為大家輸出更多高質量的實用文章�!
