SSH 反向端口转发-R

ParanoidRoye2024-11-28 8:39

近期和同学聊到了他遇到的一个问题:

本地机器A,远程开发机C机器A需要通过ssh连接开发机C进行开发,ssh直连不通,SCP传输文件的话就比较费劲,需要通过跳板机B,经过跳板机这一步骤可用,但没那么方便,是不是有什么办法可以绕过跳板机

SSH的反向端口转发可以实现

ssh(1) - Linux man page,有一个R参数

-R

[

bind_address:]port:host:hostport

Specifies that the given port on the remote (server) host is to be forwarded to the given host and port on the local side. This works by allocating a socket to listen to port on the remote side, and whenever a connection is made to this port, the connection is forwarded over the secure channel, and a connection is made to host port hostport from the local machine

下面这句话的意思是,指定远程主机的某个端口,让其监听的数据转发到本地指定的主机和端口

Specifies that the given port on the remote (server) host is to be forwarded to the given host and port on the local side.

整个过程如下:

  1. C执行ssh -R,建立一条到Assh隧道;
  2. A起socket,监听本地端口,等待连接;
  3. A本地端口监听到数据,将数据通过ssh隧道转发到C

C执行如下命令:

bash 复制代码 
ssh -R 2022:localhost:22 -Nf root@192.168.1.16

对应参数的解释:

  • 2022remote-port,A主机下端口,也就是A下socket需要监听的端口;
  • localhost:22local-host:local-port,C主机下IP和端口。由于命令是从C发起,这里即为localhost:22,这里是A端口转发的目的地
  • root@192.168.1.16user@remote-host,A用户和IP
  • -Nf:使其使用后台模式运行

C机器配置完成后,此时在A机器执行ssh,通过-p指定端口

bash 复制代码 
[root@localhost opt]# ssh -p 2022 root@localhost
root@localhost's password:
Last login: Sun Nov 24 18:27:26 2024 from ::1

此时可以顺利登录C机器

A机器继续测试scp,需要使用大写字母P指定端口

bash 复制代码 
[root@localhost opt]# touch test.md
[root@localhost opt]# scp -P 2022 test.md root@localhost:/opt
root@localhost's password:
test.md                                                                           100%    0     0.0KB/s   00:00
[root@localhost opt]#

C机器查看,也成功获取文件

如何关掉ssh隧道

C机器执行

bash 复制代码 
ps aux | grep ssh

找到我们建立的隧道,kill掉

此时回到A主机,查询端口情况,发现监听也已经关闭

C让A端口转发A就转?

不是的,需要配置

AllowTcpForwarding Specifies whether TCP forwarding is permitted. The default is ''yes''. Note that disabling TCP forwarding does not improve security unless users are also denied shell access, as they can always install their own forwarders.

打开配置文件/etc/ssh/ssh_config,默认是看不到AllowTcpForwarding属性的,且其值为yes(测试环境为centos 7)。如果需显式设置,增加如下配置项

bash 复制代码 
AllowTcpForwarding yes

为何叫反向端口转发

通常情况下端口转发,你在本地建了一个ssh连接转发到远程机器,连接是在本地建立的,数据也是通过本地ssh隧道发到远程,普普通通

bash 复制代码 
ssh -L <local-port>:<remote-host>:<remote-port> <user>@<remote-server>

反向就不一样了,不再是本地端口转到远程机器,而是从远程机器转到本地端口。对应到开头的例子,连接是在本地C建立的,转发是在远程A执行的,数据是从A转到本地C

一个是本地到远程,一个远程到本地

相关推荐
Web3探索者7 天前
可视化服务器管理和传统命令行区别是什么?新手教程:Linux 运维到底该用图形界面还是 SSH 命令行?
linux·ssh
zzzzzz31010 天前
9K Star 炸裂开源!这个 C 语言写的代码知识图谱,把 Linux 内核索引压缩到了 3 分钟
linux·服务器·sql
大树8813 天前
金刚石散热越强,管路越先见顶
大数据·运维·服务器·人工智能·ai
开发者联盟league13 天前
安装pnpm
ssh
小宇宙Zz13 天前
Maven依赖冲突
java·服务器·maven
网络研究院13 天前
2026年网络安全
网络·安全·法律·法规·趋势·发展
酣大智13 天前
ARP代理--工作原理
运维·网络·arp·arp代理
treesforest13 天前
AI安全系统如何识别异常访问?IP风险识别正在成为关键能力
网络·人工智能·tcp/ip·安全·web安全
shushangyun_13 天前
2026年快消品B2B系统推荐:支持终端门店订货、促销政策自动化的工具?
java·运维·网络·数据库·人工智能·spring·自动化
古城小栈13 天前
Unix 与 Linux 异同小叙
linux·服务器·unix
热门推荐
012026年6月AI大模型全景报告:GPT-5.6、Claude Opus 4.8、Gemini 3.5,中美AI三足鼎立谁主沉浮?022026年6月AI行业全景:从百模大战到Agent元年,这30天发生了什么?032026 年 AI 编程工具终极横评:Cursor vs Claude Code vs Copilot vs Windsurf04Trae国际版与国内版深度测评:AI原生IDE的双生花05飞书长连接_事件订阅(接收消息,审批任务状态变更)06【AI】2026 年具身智能模型和世界模型总结07Claude Code、Codex、Cursor三分天下:2026年AI编程Agent生态全景剖析08GitHub 镜像站点092026 AI 编程工具终极实战指南:Cursor vs Claude Code vs Copilot,开发者该怎么选?102026年AI架构实战:彻底解决OpenAI接口超时与封号,Python调用GPT-5.2/Sora2企业级架构详解(附源码+压测报告)