说说SSH的端口转发

码龄3年 审核中2025-10-27 21:54

今天,看了几篇其他平台的作者对SSH的端口转发相关文章,颇有收获,兴起也来跟CSDN上的同学们唠叨两句自己的心得,希望能让同学们少走点弯路,直达社会主义家园。

首先,必须明确SSH的端口转发是一套组合拳,也就是一并先后做了 2 件事情,

first task:建立SSH连接,
second job:对流量的监听和转发

那么说,SSH在做端口转发动作之前一定要做的事情就是先建立SSH连接,

如果同学们在之前网上找的资料看了个懵逼的最主要的原因就是忽略了这件SSH的最基本的本职工作。

SSH做端口转发只是在建立了SSH连接后顺手的事儿,搂草打兔子捎带脚。

先有连接后有端口转发

其次,不用去看什么跳板机这那的,

就记住一点:

SSH连接的建立有两个参与者,

能提供最基本的远程控制这个功能,

这也是SSH连接的初衷,

其中

客户端和服务器,
发起者是SSH client
响应者是SSH server

然后才是在这个SSH连接的基础上再去进行SSH端口转发,

SSH连接是基础,

SSH 端口转发是SSH连接提供的增值服务,

建立了SSH连接,

在没有进行端口转发的时候,

SSH连接能提供最基本的远程控制这个功能,

这也是SSH连接的初衷,

同时SSH连接中各个参与者的身份是不会发生变化的,

这句话意思是SSH client就是SSH连接的发起者,

它的身份不会随着SSH 端口转发数据流的方向的变化而改变,

举2个例子,

一、当SSH 端口转发使用本地端口转发即 ssh -L 时,

SSH client上的端口流量被送往响应者SSH server

流量方向:SSH client-->SSH server

此时SSH client是发起者的身份,

二、当SSH 端口转发使用远程端口转发即 ssh -R 时,

SSH server把收集到的流量送往SSH client上的端口,

流量方向:SSH server-->SSH client

此时SSH client仍然是发起者的身份,

也就是说,在SSH连接中参与者的身份始终如一保持不变,

SSH 端口转发中因为会使用到本地端口和远程端口两种模式进行流量转发,所以流量的方向会发生变化,

但无论SSH 端口转发的流量方向如何变化,

其下层的SSH连接中的参与者的身份始终保持不变,即
发起者是SSH client
响应者是SSH server

接着,要注意的是不管是本地转发还是远程转发,看的都是端口即 port

每个参与SSH 端口转发的终端都有自己的端口,比如

SSH 建立连接的2个参与方,
发起者 SSH client 使用的端口是 22(SSH 连接使用的默认端口)
响应者 SSH server 使用的端口是 22(SSH 连接使用的默认端口)

然后在这个SSH 连接上进行SSH 端口转发时要使用的端口,比如

在SSH 端口转发的本地端口转发模式下 SSH client 上的8080端口的流量先经端口22 到达 SSH server,然后SSH server将流量送到target的80端口,

请注意,这里有三个终端,分别是 clientserver、和target

它们三个分别使用到了4个端口,

1.SSH client 收集自己端口 8080 的流量

2.SSH client 通过自己的端口 22 把上一步收集到的流量送到 SSH server

3.SSH server在自己的端口 22 上将SSH client 处得到的流量送给target端口80

第一个端口,SSH client端口 8080

第二个端口,SSH client、SSH server共同使用的端口 22

第三个端口,SSH server的某个端口( SSH servertarget通信的端口)

第四个端口,target端口80

其中,

除了第三个端口让SSH server自己想办法之外,

其他三个端口都需要我们在命令中明确指定,

但一般做SSH端口转发的前提必须是建立SSH连接,

所以,第二个端口可以不写在命令中,

因此,在SSH端口转发的命令中通常只有2个端口,

但一定要知道,实际上用到的是4个端口,

所以,在SSH 端口转发中,所有的参与者都有自己的端口,而有一个默认的端口 22 千万不要忽略了,那就是 SSH 连接本身要使用的22号端口,虽然在 SSH的端口转发的命令中只出现了2个端口,但我们要清楚的知道那个被隐去的22号端口是SSH 连接要用到的,

我们来仔细看看本地端口转发和远程端口转发是怎么个事儿

本地端口转发

命令+参数是以 ssh -L 开头

L就是local的意思,

强调的是收集SSH client本地某个被指定的端口的流量,

然后通过SSH连接用到的端口22送给SSH server

远程端口转发

命令+参数是以 ssh -R 开头

R就是remote的意思

强调的是SSH client等待 远程的SSH server

通过端口22送来的由SSH server收集来 某个被指定的端口的流量

今天先写这点儿,估计看到这里同学们就已经了然于胸了,等有机会我再继续来补充,欢迎大家伙留言和讨论

不足之处请不吝赐教

October2025the25thSaturday

相关推荐
骑上单车去旅行27 分钟前
openEuler 22.03 离线源码编译 Zabbix 7.0.27 完整最终整合手册
linux·运维·服务器·zabbix
抛砖者31 分钟前
flink打包方式问题
大数据·flink
AC赳赳老秦43 分钟前
OpenClaw + 云数据库运维:自动备份、扩容、迁移 RDS/MySQL 云数据库
运维·开发语言·数据库·人工智能·python·mysql·openclaw
向日葵.1 小时前
linux & qnx & git 命令 1
linux·运维·服务器
TDengine (老段)1 小时前
TDengine 物理计划生成 — 算子下沉、Exchange 与 Subplan 切分
大数据·数据库·物联网·时序数据库·tdengine·涛思数据
sunshine8851 小时前
ISO 27001与PCI-DSS认证:财务数据安全如何反哺业财一体化落地?
大数据·人工智能
MXsoft6181 小时前
**非Agent部署:网络设备分钟级纳管的技术解析**
运维·自动化
艾德金的溪1 小时前
windows安装CC Switch
运维·ai
极客先躯1 小时前
高级java每日一道面试题-2026年02月09日-实战篇[Docker]-Docker 容器有哪些安全风险?如何缓解?
java·运维·网络·安全·docker·容器
yuanzhengme1 小时前
Ollama【部署 07】搭建本地智能体的简单说明(局域网离线部署Ollama+模型迁移+Docker部署AnythingLLM)
运维·docker·容器·大模型·ollama·本地智能体
热门推荐
01HTTP 与 HTTPS 的区别:从原理到实战详解02《置身钉内》原文-可播放阅读03【AI】2026 年具身智能模型和世界模型总结042026 AI 编程工具终极实战指南:Cursor vs Claude Code vs Copilot,开发者该怎么选?05Claude Code、Codex、Cursor三分天下:2026年AI编程Agent生态全景剖析06AI科技热点日报 | 2026年6月1日072026年6月AI行业全景:从百模大战到Agent元年,这30天发生了什么?08GitHub 镜像站点09AI一周事件 · 2026-06-03 至 2026-06-09102026 年 AI 编程工具终极横评:Cursor vs Claude Code vs Copilot vs Windsurf