SSH转发

Posted 2020-10-07

前言

        前面介绍了ssh的两种连接方式，是在学习过程中连接主机的方式。在实际生产场景中，环境可能更加复杂。这里再介绍2种在实际工作中如何安全的访问想要访问的主机。

SSH端口转发

       SSH 会自动加密和解密所有SSH 客户端与服务端之间的网络数据。但是，SSH 还能够将其他TCP 端口的网络数据通过SSH 链接来转发，并且自动提供了相应的加密及解密服务。这一过程也被叫做“隧道”（tunneling），这是因为SSH 为其他TCP 链接提供了一个安全的通道来进行传输而得名。例如，Telnet，SMTP，LDAP 这些TCP 应用均能够从中得益，避免了用户名，密码以及隐私信息的明文传输。而与此同时，如果工作环境中的防火墙限制了一些网络端口的使用，但是允许SSH 的连接，也能够通过将TCP 端口转发来使用SSH 进行通讯。 

SSH 端口转发能够提供两大功能：

     1、加密SSH Client 端至SSH Server 端之间的通讯数据

     2、突破防火墙的限制完成一些之前无法建立的TCP 连接

ssh转发的实际应用

      假如你在一家公司做运维，你在家的时候或者分公司同事、其他部门的人想连接公司内部的一台主机，这时防火墙是阻止不允许访问。甚至有些严格的公司VPN都是不允许开启的。防火墙是专门的网络运维管理员管理，不可能因为某一个人的小需求更改策略。那这时怎么办呢？企业内部有一台ssh服务器，因为ssh是加密的，外部直接连接ssh服务是可以的。现在可以通过ssh server当跳板机，间接的去连接其他主机。如下图：A是外部一台主机，想连接C，直接连是被防火墙拒绝的。B是ssh服务器，B是可以直接连C的。A可以通过与B搭一个“隧道”，B来转发A的请求到C。情形具体参考下图。

     

      第一步：模拟A无法连接C

         C机器：iptables -A INPUT -s 192.168.32.101 -j REJECT     <===拒绝来自A机器的连接

      第二步：确认B机器上开启可ssh服务，可以用/etc/init.d/sshd status 查看下状态，如果没开用start开启。也可以ss -ntl看下22端口是否开启，ssh是在22端口提供服务的。

      第三步：在A机器上建立隧道ssh -L 9527:192.168.32.103:23 -fN 192.168.32.102

         说明：-L 9527:192.168.103:23 <===指定本机的9527端口，后面接想要连接的主机地址加服务端口    

                    -f                                  <===后台启用,不后台运行直接就连接上去了。

                    -N                                 <===不打开远程shell，处于等待状态

                    192.168.32.102             <===跳板机B的ip地址

       第四步：在A上直接telnet 127.0.0.1 9527 <===当访问本机的9527的端口时，被加密后转发到ssh server（B）的ssh服务，再解密被转发到telnet server（C）的23端口

        总结：因为这是在本地执行操作的，也可以称作为ssh的本地转发。这么做虽然加密了，但是在防火墙上依然对22端口没有限制，外部机器可以通过tcp：22端口访问内部。所以很多企业是不允许打开22端口的。那假如22端口也被防火墙屏蔽了怎么办呢？既然有本地转发，肯定有远程转发啦！

         ssh远程转发：与上面的架构一样，只是ssh server和ssh client发生变化。A和B互相调换位置。如下图：这次我们换一个不安全的邮件smtp服务。

    

    第一步：由于这次我们模拟的是SMTP服务，需要实现修改一下smtp的配置：

        vim /etc/postfix/main.cf            <===配置文件

            inet_interfaces = all        <===取消#，使这行生效

            #inet_interfaces = localhost      <===注销此行

        重启服务：service postfix restart

    第二步：在B上操作：ssh -R 9527:192.168.32.103:25 -Nf 192.168.32.101    <===远程是-R，其余选项参考上面

    第三步：在A上telnet 127.0.0.1 9527连接成功！

    总结：远程转发相比较本地转发来说，比较安全。不管防火墙屏蔽了任何端口，都不影响，不涉及外部机器对防火墙主动发起请求。A连接的C的telnet实际已经被B上的ssh进行封装。所以也是安全的。

ssh转发补充：
       其实ssh还有一种转发模式，就是动态转发。应用比较多的就是我们说的科学上网。 

       在本机上执行ssh -D 1080 192.168.32.102     <===-D 本机的1080端口做为代理服务器，后面是代理服务器的IP地址。

        *curl --socks5 127.0.0.1 http://192.168.32.103 <===测试连接103的网站能否打开，使用浏览器需要设置一下代理。

        访问外网有风险，建议大家还是不要过多的科学上网。