Life is On the Road.

举几个例子说一下ssh port forward的应用吧，假设：
A：192.168.1.123，linux，有sshd，httpd服务，没有路由，能通过网关访问外网
B：218.104.xxx.xxx，linux，有sshd，有路由
C：172.16.1.123，linux，有sshd，没有路由，能通过网关访问外网
D：192.168.1.111，windows，没有sshd，没有路由，能通过网关访问外网络
其中：A，D通网断，可以互相访问，与C不在同一网段，不能直接访问。

例一：让B访问A的服务
1) 从A上建立远程端口转发：
A#ssh -f -N -g -R9999:localhost:22 -l root 218.104.xxx.xxx
说明：需要认证root@218.104.xxx.xxx的密码，且9999端口在218.104.xxx.xxx未被占用，一旦命令执行成功，在B上运行netstat -an |grep 9999可以看到该端口正在监听。如果不用root，只能创建1024以上的端口监听。
2) 从B上连接A的sshd端口：
B#ssh -p 9999 -l user localhost
说明：B–ssh–>B:9999–>B–ssh–>A:22此时用户从B上即可连接到A的sshd端口，实现了vpn的功能。但是如果用户从B以外仍然无法访问A，即使在B上用ssh -p 9999 -l user 218.104.xxx.xxx都无法登陆。
问题：-g参数本来是允许远程机器访问转发端口的，但是实际使用中似乎不起作用。当不使用-g时，用netstat -na看到的端口监听是ServerName:listen_port的形式，使用-g参数之后看到的情况是*:listen_port的形式（-L，-D时如此，-R无效）。如果要让B以外的机器也能访问A，即能访问B的9999端口，可以在/etc/ssh/sshd_config中加入下面一行：
GatewayPorts Yes
或者用我们后面介绍的方法。

例二：让C访问A的服务，理论上说有两个途径
方法一：在B上建立本地端口转发到自身，并且使用-g参数，允许远程主机访问
B#ssh -f -N -g -L7777:loaclhost:9999 -l root localhost
如果-g起作用（实际尝试中，在有些机器中成功，有些失败，但是端口确实是在监听所有地址，即*:listen_port），则：
C#ssh -p 7777 218.104.xxx.xxx -l user
将能连接到A的sshd服务
C–ssh–>B:7777–ssh–>B->localhost(B):9999–>B–ssh–>A:22
方法二：在C上通过B建立本地端口转发到localhost(B)，因为B上可以访问自身9999端口，即可访问到A
C#ssh -f -N -g -L6666:localhost:9999 -l root 218.104.xxx.xxx
C#ssh -p 6666 -l user localhost
C–>localhost(C):6666–ssh–>B–>localhost(B):9999–>B–ssh–>A:22

先到这里，下次介绍-D的作用吧。实践的OS是redhat enterprise 3，由于家里没有试验环境，所以麻烦比较多。

This entry was posted on Friday, March 17th, 2006 at 00:41:55 and is filed under IT. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.