SSH 端口轉(zhuǎn)發(fā)允許處于潛在不安全網(wǎng)絡(luò)中的設(shè)備進(jìn)行通信而不被攻擊。管理遠(yuǎn)程數(shù)據(jù)庫(kù)、操作分布式系統(tǒng)或安裝安全控制的人員需要了解 SSH 端口轉(zhuǎn)發(fā)。本綜合指南將帶您了解三種主要的端口轉(zhuǎn)發(fā)類(lèi)型（本地、遠(yuǎn)程和動(dòng)態(tài)），提供詳細(xì)的設(shè)置說(shuō)明、實(shí)際用例和故障排除技巧。您將學(xué)習(xí)如何安全地訪問(wèn)遠(yuǎn)程服務(wù)、繞過(guò)防火墻，并在傳輸敏感數(shù)據(jù)時(shí)保護(hù)隱私。每個(gè)概念都通過(guò)實(shí)際示例和需要避免的常見(jiàn)陷阱進(jìn)行說(shuō)明，使您更容易在自己的環(huán)境中實(shí)現(xiàn)這些技術(shù)。

一、什么是 SSH 端口轉(zhuǎn)發(fā)？

Secure Shell（SSH）端口轉(zhuǎn)發(fā)，通常稱(chēng)為 SSH 隧道，是一種將網(wǎng)絡(luò)流量重定向通過(guò)加密 SSH 連接的強(qiáng)大技術(shù)。此方法在兩臺(tái)計(jì)算機(jī)之間創(chuàng)建一個(gè)安全隧道，使您即使在不安全的網(wǎng)絡(luò)（如公共 Wi-Fi 或互聯(lián)網(wǎng)）上也能安全地傳輸數(shù)據(jù)。

可以把 SSH 端口轉(zhuǎn)發(fā)想象成兩個(gè)位置之間的安全專(zhuān)用隧道。就像物理隧道提供受保護(hù)的通道一樣，SSH 端口轉(zhuǎn)發(fā)為您的網(wǎng)絡(luò)流量創(chuàng)建了一條受保護(hù)的路徑，使其免受潛在竊聽(tīng)者或惡意行為者的攻擊。

SSH 端口轉(zhuǎn)發(fā)主要有三種類(lèi)型，每種類(lèi)型適用于不同的用例：

• 本地端口轉(zhuǎn)發(fā)（ssh -L）：將流量從您的本地計(jì)算機(jī)轉(zhuǎn)發(fā)到遠(yuǎn)程服務(wù)器。有助于像在本地運(yùn)行一樣訪問(wèn)遠(yuǎn)程服務(wù)。
• 遠(yuǎn)程端口轉(zhuǎn)發(fā)（ssh -R）：將流量從遠(yuǎn)程服務(wù)器轉(zhuǎn)發(fā)到您的本地計(jì)算機(jī)。非常適合將本地服務(wù)暴露給遠(yuǎn)程網(wǎng)絡(luò)。
• 動(dòng)態(tài)端口轉(zhuǎn)發(fā)（ssh -D）：創(chuàng)建一個(gè)可以通過(guò) SSH 連接轉(zhuǎn)發(fā)各種類(lèi)型流量的 SOCKS 代理。非常適合安全的網(wǎng)頁(yè)瀏覽或訪問(wèn)多個(gè)服務(wù)。

讓我們?cè)敿?xì)探討每種類(lèi)型，以了解它們的具體應(yīng)用以及如何有效地實(shí)現(xiàn)它們。

二、本地端口轉(zhuǎn)發(fā)（ssh -L）

本地端口轉(zhuǎn)發(fā)在您的本地計(jì)算機(jī)和遠(yuǎn)程服務(wù)器之間創(chuàng)建一個(gè)安全隧道。以下是它的工作原理和用途：

1. 工作原理

當(dāng)您設(shè)置本地端口轉(zhuǎn)發(fā)時(shí)，實(shí)際上是在創(chuàng)建一條安全路徑，將來(lái)自您計(jì)算機(jī)上特定端口的流量發(fā)送到遠(yuǎn)程服務(wù)器上的特定端口。所有這些通信都通過(guò)加密的 SSH 隧道進(jìn)行，這意味著您的數(shù)據(jù)受到保護(hù)，不會(huì)被任何試圖攔截它的人獲取。

主要優(yōu)點(diǎn)：

• 防火墻訪問(wèn)：如果您需要訪問(wèn)被防火墻阻止的服務(wù)，本地端口轉(zhuǎn)發(fā)可讓您在保持安全性的同時(shí)繞過(guò)這些限制。
• 安全的數(shù)據(jù)庫(kù)連接：使用遠(yuǎn)程數(shù)據(jù)庫(kù)時(shí)，您可以創(chuàng)建一個(gè)加密所有數(shù)據(jù)傳輸?shù)陌踩B接，保護(hù)敏感信息。
• Web 應(yīng)用程序訪問(wèn)：您可以像在本地計(jì)算機(jī)上一樣安全地訪問(wèn)在遠(yuǎn)程服務(wù)器上運(yùn)行的 Web 應(yīng)用程序。
• 開(kāi)發(fā)測(cè)試：開(kāi)發(fā)人員可以在本地測(cè)試遠(yuǎn)程服務(wù)，從而更輕松地調(diào)試和開(kāi)發(fā)應(yīng)用程序。

安全功能，連接受到 SSH 加密的保護(hù)，這意味著：

• 所有數(shù)據(jù)在傳輸過(guò)程中都經(jīng)過(guò)加密
• 連接經(jīng)過(guò)身份驗(yàn)證
• 隧道可防止未經(jīng)授權(quán)的訪問(wèn)
• 您的數(shù)據(jù)免受竊聽(tīng)或篡改

這使得本地端口轉(zhuǎn)發(fā)成為安全遠(yuǎn)程訪問(wèn)和開(kāi)發(fā)工作的重要工具。

2. 語(yǔ)法

ssh -L local_port:destination_host:destination_port username@ssh_server

3. 示例

讓我們看一個(gè)實(shí)際場(chǎng)景，您需要安全地連接到遠(yuǎn)程 PostgreSQL 數(shù)據(jù)庫(kù)。假設(shè)您在本地進(jìn)行開(kāi)發(fā)項(xiàng)目，而數(shù)據(jù)庫(kù)托管在遠(yuǎn)程服務(wù)器上，運(yùn)行在其默認(rèn)端口 5432 上。要建立安全連接，您可以使用如下的本地端口轉(zhuǎn)發(fā)：

ssh -L 5433:localhost:5432 user@remote-db.com

現(xiàn)在，本地連接到 localhost:5433 會(huì)將流量安全地轉(zhuǎn)發(fā)到 remote-db.com 上的 PostgreSQL 數(shù)據(jù)庫(kù)。這意味著任何配置為連接到 localhost:5433 的應(yīng)用程序?qū)嶋H上都將通過(guò)加密的 SSH 隧道與遠(yuǎn)程數(shù)據(jù)庫(kù)通信。

常見(jiàn)錯(cuò)誤：混淆端口。始終確保本地端口和目標(biāo)端口與您預(yù)期的連接設(shè)置匹配。例如，如果您嘗試連接到遠(yuǎn)程 MySQL 數(shù)據(jù)庫(kù)的 3306 端口，請(qǐng)確保在 SSH 命令中指定正確的目標(biāo)端口。

三、遠(yuǎn)程端口轉(zhuǎn)發(fā)（ssh -R）

遠(yuǎn)程端口轉(zhuǎn)發(fā)創(chuàng)建一個(gè)安全隧道，將流量從遠(yuǎn)程服務(wù)器路由回您的本地計(jì)算機(jī)。這種轉(zhuǎn)發(fā)類(lèi)型在您需要將本地服務(wù)暴露給外部用戶(hù)或系統(tǒng)的場(chǎng)景中特別有用。當(dāng)以下情況發(fā)生時(shí)，它尤其有價(jià)值：

• 本地開(kāi)發(fā)測(cè)試：您希望與遠(yuǎn)程團(tuán)隊(duì)成員或客戶(hù)共享本地開(kāi)發(fā)環(huán)境以進(jìn)行測(cè)試和反饋。
• NAT/防火墻繞過(guò)：您的本地計(jì)算機(jī)位于 NAT 或限制性防火墻之后，阻止直接外部訪問(wèn)。
• 本地服務(wù)的遠(yuǎn)程訪問(wèn)：您需要提供對(duì)本地服務(wù)（如 Web 服務(wù)器、數(shù)據(jù)庫(kù)或在您計(jì)算機(jī)上運(yùn)行的開(kāi)發(fā)工具）的安全訪問(wèn)。
• 臨時(shí)服務(wù)暴露：您希望臨時(shí)暴露本地服務(wù)，而無(wú)需修改網(wǎng)絡(luò)配置或防火墻規(guī)則。

連接通過(guò)加密的 SSH 隧道建立，確保遠(yuǎn)程服務(wù)器和您的本地計(jì)算機(jī)之間的所有流量保持安全，并免受未經(jīng)授權(quán)的訪問(wèn)。

1. 命令語(yǔ)法

ssh -R remote_port:local_host:local_port username@remote_ssh_server

2. 示例場(chǎng)景

要在您的本地計(jì)算機(jī)（localhost）上啟用可從 remote-ssh.com 訪問(wèn)的遠(yuǎn)程調(diào)試，您可以設(shè)置遠(yuǎn)程端口轉(zhuǎn)發(fā)。這使您能夠?qū)⒈镜卣{(diào)試端口安全地暴露給遠(yuǎn)程服務(wù)器，以便進(jìn)行遠(yuǎn)程調(diào)試會(huì)話。執(zhí)行以下命令：

ssh -R 9000:localhost:9000 user@remote-ssh.com

現(xiàn)在，遠(yuǎn)程服務(wù)器端口 9000 上的流量將安全地轉(zhuǎn)發(fā)到您本地系統(tǒng)的端口 9000。這意味著任何嘗試連接到遠(yuǎn)程服務(wù)器上端口 9000 的應(yīng)用程序或服務(wù)將通過(guò)加密的 SSH 隧道自動(dòng)重定向到您本地計(jì)算機(jī)的端口 9000。

3. 重要配置說(shuō)明

要啟用遠(yuǎn)程端口轉(zhuǎn)發(fā)，您需要將 SSH 服務(wù)器配置為接受傳入連接。這需要兩個(gè)步驟：

(1) 編輯 SSH 服務(wù)器配置文件（/etc/ssh/sshd_config）并設(shè)置：

GatewayPorts yes

(2) 重啟 SSH 服務(wù)以應(yīng)用更改：

sudo systemctl restart sshd

如果沒(méi)有此配置，SSH 服務(wù)器將只接受從 localhost 接口到轉(zhuǎn)發(fā)端口的連接，從而限制遠(yuǎn)程端口轉(zhuǎn)發(fā)的功能。

四、動(dòng)態(tài)端口轉(zhuǎn)發(fā)（ssh -D）

動(dòng)態(tài)端口轉(zhuǎn)發(fā)創(chuàng)建一個(gè) SOCKS 代理，通過(guò)安全的 SSH 隧道路由網(wǎng)絡(luò)流量，有效地對(duì)您的連接進(jìn)行匿名處理。此強(qiáng)大功能在您的計(jì)算機(jī)上創(chuàng)建一個(gè)本地 SOCKS 代理服務(wù)器，將所有流量通過(guò) SSH 連接轉(zhuǎn)發(fā)到遠(yuǎn)程服務(wù)器，然后由遠(yuǎn)程服務(wù)器向互聯(lián)網(wǎng)發(fā)出實(shí)際請(qǐng)求。此方法在以下情況下特別有用：

• 安全瀏覽：在使用公共或不受信任的網(wǎng)絡(luò)時(shí)加密所有 Web 流量
• 繞過(guò)網(wǎng)絡(luò)限制：訪問(wèn)當(dāng)前網(wǎng)絡(luò)中可能被阻止的資源
• 隱私保護(hù)：通過(guò)遠(yuǎn)程服務(wù)器路由流量來(lái)隱藏您的實(shí)際 IP 地址
• 應(yīng)用級(jí)代理：允許單個(gè)應(yīng)用程序通過(guò)安全隧道路由其流量

動(dòng)態(tài)端口轉(zhuǎn)發(fā)創(chuàng)建的 SOCKS 代理比本地或遠(yuǎn)程端口轉(zhuǎn)發(fā)更靈活，因?yàn)樗梢蕴幚矶喾N類(lèi)型的流量和協(xié)議，而不僅僅是特定端口。它在應(yīng)用層工作，與大多數(shù)支持 SOCKS 代理的網(wǎng)絡(luò)應(yīng)用程序兼容。

1. 動(dòng)態(tài)端口轉(zhuǎn)發(fā)的語(yǔ)法

ssh -D local_port username@ssh_server

2. 示例用例

要使用動(dòng)態(tài)端口轉(zhuǎn)發(fā)創(chuàng)建安全的代理隧道，您需要建立一個(gè)創(chuàng)建本地 SOCKS 代理的 SSH 連接。此代理會(huì)將所有網(wǎng)絡(luò)流量通過(guò)加密的 SSH 隧道路由到遠(yuǎn)程服務(wù)器，從而提供增強(qiáng)的安全性和隱私性。以下是設(shè)置方法：

ssh -D 8080 user@secure-server.com

要使用 SOCKS 代理，請(qǐng)將您的應(yīng)用程序或?yàn)g覽器配置為使用 localhost:8080 作為代理服務(wù)器。以下是在常見(jiàn)應(yīng)用程序中的設(shè)置方法：

(1) Firefox：

• 轉(zhuǎn)到“設(shè)置”>“網(wǎng)絡(luò)設(shè)置”
• 選擇“手動(dòng)代理配置”
• 在“SOCKS 主機(jī)”字段中輸入 127.0.0.1
• 在“端口”字段中輸入 8080
• 選擇“SOCKS v5”作為代理類(lèi)型

(2) Chrome/Edge：

• 安裝“SOCKS 代理”擴(kuò)展程序，如“Proxy SwitchyOmega”
• 創(chuàng)建新的代理配置文件
• 將代理服務(wù)器設(shè)置為 127.0.0.1:8080
• 選擇 SOCKS5 作為協(xié)議

(3) 系統(tǒng)范圍（Linux/macOS）：

設(shè)置 http_proxy 和 https_proxy 環(huán)境變量：

export http_proxy="socks5://127.0.0.1:8080"
export https_proxy="socks5://127.0.0.1:8080"

此配置對(duì)于在不安全網(wǎng)絡(luò)上進(jìn)行安全 Web 瀏覽特別有用，因?yàn)樗辛髁慷紝⑼ㄟ^(guò) SSH 隧道加密。您可以通過(guò)在啟用代理之前和之后檢查 IP 地址來(lái)驗(yàn)證代理是否正常工作。

五、在 SSH 配置文件中配置 SSH 端口轉(zhuǎn)發(fā)

SSH 端口轉(zhuǎn)發(fā)也可以使用 SSH 配置文件（~/.ssh/config）方便地設(shè)置。此方法簡(jiǎn)化了重復(fù)配置。

Host db-forward
    HostName remote-db.com
    User user
    LocalForward 5433 localhost:5432

連接方式：

ssh db-forward

1. 多端口的 SSH 端口轉(zhuǎn)發(fā)

您可以通過(guò)在單個(gè) SSH 命令中多次指定 -L 或 -R 選項(xiàng)來(lái)同時(shí)轉(zhuǎn)發(fā)多個(gè)端口。這使您能夠在一個(gè)連接中創(chuàng)建多個(gè)端口轉(zhuǎn)發(fā)隧道，這在需要訪問(wèn)遠(yuǎn)程服務(wù)器上的多個(gè)服務(wù)時(shí)非常有用。例如，您可能希望同時(shí)轉(zhuǎn)發(fā) Web 服務(wù)器端口和數(shù)據(jù)庫(kù)端口。

ssh -L 8080:localhost:80 -L 5432:localhost:5432 user@server.com

2. Linux 上的 SSH 端口轉(zhuǎn)發(fā)

Linux 通過(guò)其終端界面提供原生 SSH 支持，使設(shè)置和管理 SSH 端口轉(zhuǎn)發(fā)變得簡(jiǎn)單。大多數(shù) Linux 發(fā)行版通常預(yù)先安裝了 SSH 客戶(hù)端，您可以直接從命令行使用它，無(wú)需額外軟件。

要在 Linux 上使用 SSH 端口轉(zhuǎn)發(fā)：

• 打開(kāi)終端
• 使用帶有適當(dāng)轉(zhuǎn)發(fā)選項(xiàng)的 ssh 命令
• 連接到遠(yuǎn)程服務(wù)器

本地端口轉(zhuǎn)發(fā)的基本語(yǔ)法是：

ssh -L local_port:remote_host:remote_port user@ssh_server

根據(jù)前面所述，對(duì)遠(yuǎn)程或動(dòng)態(tài)轉(zhuǎn)發(fā)進(jìn)行相應(yīng)調(diào)整。