← 返回信息流
AI 资讯Hacker News·4 天前

SSH隧道实战指南:本地与远程端口转发详解

原标题:A Practical Guide to SSH Tunnels: Local and Remote Port Forwarding

速览

本文提供SSH隧道技术的实用指南,重点解析本地端口转发和远程端口转发的具体配置方法。通过掌握这些技术,用户可以安全地将本地端口映射到远程服务器,或反向操作,从而有效穿透防火墙和网络限制。这对于远程开发、内网服务访问以及构建安全的数据传输通道具有重要意义。

AI 深度解读

SSH 隧道实战指南:本地与远程端口转发详解

背景

SSH(Secure Shell)是一项古老的技术,但至今仍在广泛使用。与其花费大量精力去掌握那些可能下个季度就会被弃用的云原生工具或 AI Agent 框架,不如深入理解几个 SSH 的高级技巧,这在长期来看往往更具实用价值。

SSH 隧道(SSH Tunnels)是其中极具威力的功能之一。仅凭标准工具和单条命令,即可实现以下场景:

  • 通过面向公网的 EC2 实例访问内部 VPC 端点。
  • 在本地浏览器中打开远程开发 VM 的 localhost 端口。
  • 将家庭/私有网络中的任何本地服务器暴露给外部世界。
  • 将浏览器的调试端口隧道传输至远程沙箱化的代码代理。

尽管作者日常频繁使用 SSH 隧道,但每次使用时仍需花费时间回忆正确的命令参数:是本地转发还是远程转发?标志位是什么?格式是 local_port:remote_port 还是反过来?为了解决这一痛点,作者通过一系列实验室环境和可视化速查表,系统地梳理了这些概念。

本教程的实验环境包含四个主机,连接至三个网络:

  • internal(内部网络):家庭网络中的设备(192.168.0.0/24),如家庭实验室服务器、NAS 或打印机。从公共网络不可达。
  • local(本地工作站):你的工作电脑,同时位于家庭网络(192.168.0.0/24)和公共网络(203.0.113.0/24)。
  • remote(远程堡垒机/网关):位于公共网络(203.0.113.0/24)的堡垒机,同时连接至私有 VPC(172.16.0.0/24)。
  • private(私有服务):位于 VPC(172.16.0.0/24)内的纯内部服务(如数据库、OpenSearch 集群),从公共网络不可达。

核心内容

SSH 端口转发主要分为两种模式:本地端口转发(Local Port Forwarding)远程端口转发(Remote Port Forwarding)

1. 本地端口转发(Local Port Forwarding)

这是最常用的场景,适用于从本地机器访问远程机器上仅监听在 localhost 或私有接口的服务。

典型应用场景:

  • 使用本地 UI 工具访问远程私有数据库(MySQL, Postgres, Redis 等)。
  • 通过浏览器访问仅暴露给私有网络的 Web 应用。
  • 在不发布到服务器公共接口的情况下,访问容器端口。

命令语法:

ssh -L [local_addr:]local_port:remote_addr:remote_port [user@]sshd_addr

原理解析:

  • -L 标志表示启动本地端口转发。
  • SSH 客户端会在本地机器的 local_port 上开始监听(通常绑定在 localhost,具体取决于 GatewayPorts 设置)。
  • 任何发往该端口的流量都会被转发到通过 SSH 连接到的远程机器上的 remote_addr:remote_port

实战案例 A:转发远程 localhost 服务 远程主机运行一个绑定在 127.0.0.1:80 的 Web 服务。由于绑定在回环接口,外部网络无法直接访问。

  1. 从本地尝试访问远程公共 IP 失败: curl 203.0.113.30:80 -> 连接失败。
  2. 在远程主机内部访问成功: curl localhost:80 -> 返回 "Hello from the remote host"。
  3. 解决方案:在本地建立隧道,将本地的 8080 端口转发至远程的 localhost:80 
    ssh -f -N -L 8080:localhost:80 203.0.113.30
    • -f:后台运行。
    • -N:不执行远程命令,仅转发。
  4. 现在可以通过 curl localhost:8080 成功访问远程服务。

实战案例 B:通过堡垒机访问 VPC 内部服务 目标服务运行在私有 VPC 主机(172.16.0.40:80)上,本地工作站无法直接路由到 VPC,但堡垒机(203.0.113.30)可以。

  1. 从本地直接访问 VPC IP 超时。
  2. 解决方案:通过堡垒机将本地端口转发至 VPC 内部 IP。 
    ssh -f -N -L 8081:172.16.0.40:80 203.0.113.30
    注意:这里的 remote_addr (172.16.0.40) 和 sshd_addr (203.0.113.30) 是不同的机器。堡垒机接受连接并代表我们打开到私有主机的第二跳连接。

2. 远程端口转发(Remote Port Forwarding)

这是一种“反向”场景,用于将本地服务暂时暴露给外部世界。这需要一台面向公网的入口网关服务器。

命令语法:

ssh -R [remote_addr:]remote_port:local_addr:local_port [user@]gateway_addr

原理解析:

  • -R 标志表示启动远程端口转发。
  • SSH 服务器会在远程网关机器的 remote_port 上监听。
  • 发往该端口的流量会被转发回本地机器的 local_addr:local_port

关键陷阱与配置: 默认情况下,远程端口转发仅允许使用网关的 localhost 作为远程地址。这意味着你的本地端口仅对网关服务器本身可见,外部网络无法访问。 若要将本地服务暴露给公网,必须在 SSH 服务器端配置 GatewayPorts yes

典型应用场景:

  • 将笔记本电脑上的开发服务暴露给公网进行快速演示。
  • 将家庭实验室暴露给公网。
  • 将本地浏览器的调试端口隧道传输至远程/沙箱化的代码代理。

实战案例 C:暴露本地 localhost 服务 本地工作站运行绑定在 127.0.0.1:80 的 Web 服务。

  1. 从远程网关尝试访问本地服务(默认情况下,若未配置 GatewayPorts,外部无法通过网关 IP 访问)。
  2. 解决方案:建立远程隧道。 
    ssh -f -N -R 8080:localhost:80 user@gateway_addr
    前提:网关服务器的 sshd_config 中需设置 GatewayPorts yes
  3. 配置完成后,外部可通过访问网关的 8080 端口来访问本地服务。

关键要点

  • 记忆技巧
    • Local (-L)local_port 在本地监听,流量去往 remote_addr。想象流量从 Local 出发,经过 SSH 隧道,到达 Remote。
    • Remote (-R)remote_port 在远程监听,流量去往 local_addr。想象流量从 Remote 出发,经过 SSH 隧道,到达 Local。
  • 后台运行:始终使用 -f -N 标志。-f 让 SSH 进入后台,-N 告诉 SSH 不执行远程命令,仅用于端口转发。
  • 堡垒机(Bastion/Jump Host):当目标服务位于私有网络(如 AWS VPC),而本地无法直接访问时,通过堡垒机进行 -L 转发是标准做法。命令格式为 `ssh -L local_port:private_ip:

相关推荐

查看原文 →labs.iximiuz.com