SSH -L:安全、便捷、无边界的网络通行证

欢迎来到我的博客,代码的世界里,每一行都是一个故事


在这里插入图片描述

SSH -L:安全、便捷、无边界的网络通行证

    • 前言
    • 1. SSH -L基础概念
      • SSH -L 的基本语法:
      • 端口转发的原理和作用:
    • 2. SSH -L的基本用法
      • 远程访问本地
        • 示例:访问本地Web服务
        • 示例:通过SSH跳板机访问内部服务
      • 本地访问远程
      • 示例:通过本地访问远程MySQL服务
    • 动态端口转发
      • 动态端口转发的基本语法:
      • 通过动态端口转发实现全局代理:
    • 最佳实践
      • 最佳实践:
      • 安全注意事项:

前言

在网络的无边际世界里,有时候我们需要突破种种限制,安全地穿越网络的边界。这就像是一场奇妙的冒险,而SSH -L则是你的导航仪。想象一下,就像在网络空间中挖掘一条安全通道,让数据安全、便捷地流动,就像在网络的边界开辟一扇神奇的门。

SSH -L 是一种SSH(Secure Shell)命令行选项,用于实现本地端口转发。本地端口转发是一种在安全通信通道中将本地计算机上的端口映射到远程服务器的指定端口的技术。这种功能对于建立安全的连接、绕过防火墙、访问内部网络服务等场景非常有用。

1. SSH -L基础概念

SSH -L 的基本语法:

ssh -L [local_bind_address:]local_port:remote_host:remote_port user@ssh_server
  • local_bind_address:本地绑定地址,通常是 127.0.0.1localhost。如果未指定,则默认为 localhost
  • local_port:本地计算机上要绑定的端口。
  • remote_host:远程服务器的主机名或IP地址。
  • remote_port:远程服务器上要映射的端口。
  • user@ssh_server:SSH服务器的用户名和地址。

端口转发的原理和作用:

端口转发是通过SSH安全通道将本地端口映射到远程服务器上的指定端口,从而实现安全的数据传输。这种技术有两种主要类型:本地端口转发(Local Port Forwarding)和远程端口转发(Remote Port Forwarding)。

  1. 本地端口转发(Local Port Forwarding):

    • 本地端口转发是将本地计算机上的端口映射到远程服务器上。当本地计算机上的应用程序连接到指定的本地端口时,SSH客户端会将流量加密并通过SSH通道传输到远程服务器上,然后将流量解密并转发到远程服务器上的指定端口。
    • 这种方式常用于访问远程服务器上的服务,如数据库、Web服务等,而不直接将这些服务暴露在公共网络中。
    ssh -L 8080:localhost:80 user@ssh_server
    

    上述例子中,本地计算机的端口 8080 被映射到远程服务器的本地地址(localhost)上的端口 80。

  2. 远程端口转发(Remote Port Forwarding):

    • 远程端口转发是将远程服务器上的端口映射到本地计算机上。当远程服务器上的应用程序连接到指定的端口时,SSH客户端会将流量加密并通过SSH通道传输到本地计算机上,然后将流量解密并转发到本地计算机上的指定端口。
    • 这种方式可用于在远程服务器上访问本地计算机上的服务,如本地数据库、Web服务等。
    ssh -R 2222:localhost:22 user@ssh_server
    

    上述例子中,远程服务器的端口 2222 被映射到本地计算机的端口 22,允许在远程服务器上通过SSH连接到本地计算机。

总体而言,SSH的端口转发提供了一种安全、加密的通信通道,使得在不同网络中的计算机之间可以安全地共享服务和数据。

2. SSH -L的基本用法

远程访问本地

示例:访问本地Web服务

假设本地计算机上有一个运行在端口 8080 的Web服务,我们想通过SSH访问该服务。

ssh -L 8888:localhost:8080 username@remote_server
  • 8888 是本地计算机上要绑定的端口。
  • localhost:8080 是本地计算机上运行的Web服务的地址和端口。
  • username@remote_server 是远程SSH服务器的用户名和地址。

执行以上命令后,本地计算机上的端口 8888 将被映射到远程服务器上的本地地址(localhost)上的端口 8080。现在,可以通过访问 http://localhost:8888 来安全地访问本地计算机上运行的Web服务。

示例:通过SSH跳板机访问内部服务

假设我们有一个内部服务运行在内网中的机器上,而我们只能通过一个SSH跳板机来访问内网中的机器。

ssh -L 8888:internal_machine:80 jump_user@jump_server
  • 8888 是本地计算机上要绑定的端口。
  • internal_machine:80 是内网中运行的服务的地址和端口。
  • jump_user@jump_server 是SSH跳板机的用户名和地址。

执行以上命令后,本地计算机上的端口 8888 将被映射到内网中运行的机器上的端口 80。现在,可以通过访问 http://localhost:8888 来通过SSH跳板机安全地访问内网中的服务。

这些示例展示了如何使用SSH的本地端口转发功能,通过安全通道访问本地服务或内部网络中的服务。

本地访问远程

远程端口转发允许通过SSH在本地计算机上访问远程服务器上的服务。这对于在远程服务器上运行的应用程序和服务进行安全访问非常有用。以下是一个示例,演示如何使用SSH -L 进行远程端口转发,以通过本地计算机访问远程服务。

示例:通过本地访问远程MySQL服务

假设远程服务器上运行着一个MySQL服务,我们想通过本地计算机上的MySQL客户端访问这个远程MySQL服务。

ssh -L 3306:localhost:3306 username@remote_server
  • 3306 是本地计算机上要绑定的端口(本地MySQL客户端通常使用的端口)。
  • localhost:3306 是远程服务器上运行的MySQL服务的地址和端口。
  • username@remote_server 是SSH远程服务器的用户名和地址。

执行以上命令后,在本地计算机上的端口 3306 将被映射到远程服务器上的端口 3306。现在,可以在本地计算机上使用MySQL客户端连接到 localhost:3306,实际上是连接到远程服务器上运行的MySQL服务。

这个示例展示了如何使用SSH的远程端口转发功能,通过在本地计算机上创建远程端口映射,从而实现本地计算机访问远程服务器上的服务。

动态端口转发

SSH 的动态端口转发通过使用 -D 选项实现,它允许将本地计算机上的一个端口设置为 SOCKS 代理。这样,所有通过这个 SOCKS 代理的流量都会被加密并通过 SSH 通道传输到远程服务器上,然后再转发到目标服务器。这种方式允许创建一个安全的全局代理,用于访问互联网上的服务。

动态端口转发的基本语法:

ssh -D local_bind_address:local_port user@ssh_server
  • local_bind_address:本地计算机上要绑定的地址。通常使用 127.0.0.1localhost
  • local_port:本地计算机上要绑定的端口。
  • user@ssh_server:SSH 服务器的用户名和地址。

通过动态端口转发实现全局代理:

  1. 使用动态端口转发:

    ssh -D 1080 user@ssh_server
    

    这将在本地计算机上创建一个 SOCKS 代理,绑定到 127.0.0.1:1080。现在,本地计算机上的 1080 端口可以被用作全局代理。

  2. 配置浏览器使用代理:

    在浏览器中,配置代理以使用刚刚创建的 SOCKS 代理。在浏览器的网络设置中指定代理地址为 127.0.0.1,端口为 1080

    • Firefox 设置:

      1. 打开 Firefox 设置。
      2. 在“常规”选项卡中,找到“网络设置”。
      3. 点击“设置”按钮。
      4. 选择“手动代理配置”。
      5. 设置 SOCKS 主机为 127.0.0.1,端口为 1080
    • Chrome 设置:

      1. 打开 Chrome 设置。
      2. 点击“高级”。
      3. 在“系统”下找到“打开您的计算机的代理设置”。
      4. 在“局域网设置”中,选择“使用代理服务器”并设置 SOCKS 主机为 127.0.0.1,端口为 1080

现在,通过配置浏览器使用刚刚创建的 SOCKS 代理,整个浏览器的流量都将通过 SSH 加密通道传输到远程服务器上,从而实现了一个安全的全局代理。这种方式不仅可以用于浏览器,还可以用于其他支持 SOCKS 代理的应用程序。

最佳实践

使用SSH -L 进行本地端口转发时,有一些最佳实践和安全注意事项可以帮助确保连接的安全性和稳定性:

最佳实践:

  1. 最小化端口开放范围: 仅将必要的端口映射到远程服务器上,避免不必要的开放。只打开本地计算机上需要的端口,减少潜在的攻击面。

  2. 使用随机端口号: 选择不太容易被猜测的本地端口号,避免使用常用端口。这有助于增加安全性,减少被扫描到的风险。

  3. 限制绑定地址: 如果可能,将本地端口绑定到 127.0.0.1localhost,以限制只有本地计算机可以访问。这可以通过 -L 命令中的 local_bind_address 参数来实现。

  4. 使用公钥认证: 避免使用密码认证,使用SSH公钥认证可以提高安全性。确保在SSH服务器上配置了适当的认证方式,以防止未授权访问。

  5. 限制SSH用户权限: 为SSH用户分配最小必需的权限,确保他们只能执行必要的操作。使用 SSH 配置文件(sshd_config)中的 AllowUsersAllowGroups 选项来限制可以连接的用户或组。

安全注意事项:

  1. 防火墙设置: 在使用SSH端口转发之前,请确保防火墙设置允许SSH连接和端口转发。远程服务器、本地计算机以及中间的任何防火墙都需要适当的配置。

  2. 定期更新SSH软件: 保持SSH客户端和服务器软件的更新,以获取最新的安全性和性能修复。

  3. 使用SSH密钥保护私钥: 如果使用SSH密钥进行认证,确保私钥受到保护,并使用密码对私钥进行加密。定期更改密码,并确保只有授权用户可以访问私钥。

  4. 监控日志: 定期检查SSH服务器和客户端的日志,以便及时发现异常行为。检查登录尝试、连接和端口转发活动。

  5. 加密连接: 确保SSH连接是加密的,以保护传输的数据。避免使用不安全的加密算法,推荐使用较新、安全的算法。

  6. 双重检查连接参数: 在建立SSH连接之前,仔细检查连接参数,确保端口和地址等都正确。防止因输入错误导致不安全的连接。

  7. 谨慎使用全局代理: 如果使用SSH动态端口转发作为全局代理,确保只有信任的流量通过代理。防止未经授权的流量通过代理进入网络。

通过遵循这些最佳实践和注意事项,可以提高使用SSH -L 进行本地端口转发时的安全性,并确保连接的稳定性。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/279860.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

git 常用操作合集

✨专栏介绍 在当今数字化时代,Web应用程序已经成为了人们生活和工作中不可或缺的一部分。而要构建出令人印象深刻且功能强大的Web应用程序,就需要掌握一系列前端技术。前端技术涵盖了HTML、CSS和JavaScript等核心技术,以及各种框架、库和工具…

贴片电容和薄膜电容的区别

一、贴片电容和薄膜电容的定义 贴片电容是指体积较小、形状像片的电容器,广泛应用于电路板和电子元器件中。薄膜电容是指以金属膜作为电极的电容器,广泛应用于高频和精密电路中。 二、贴片电容和薄膜电容的应用 贴片电容广泛应用于数码产品、无线通信…

JavaScript中实现页面跳转的几种常用方法

Hi i,m JinXiang ⭐ 前言 ⭐ 本篇文章主要介绍在JavaScript中实现页面跳转的几种常用方法以及部分理论知识 🍉欢迎点赞 👍 收藏 ⭐留言评论 📝私信必回哟😁 🍉博主收将持续更新学习记录获,友友们有任何问题…

Linux文件的扩展属性 attr cap

文件属性 Linux文件属性分为常规属性与扩展属性,其中扩展属性有两种:attr与xattr. 一般常规的文件属性由stat API 读取,一般是三种权限,ower, group,时间等。 扩展属性attr 用户态API ioctl(fd, FS_IOC32_SETFLAGS…

git回滚操作,常用场景

文章目录 git回滚操作1.git reset --hard 【版本号】2.回滚后的版本v2又想回到之前的版本v32.1 git reflog 3.git checkout -- 文件名4.git reset HEAD 文件名 git回滚操作 假设我们现在有三个版本 现在回滚一个版本 1.git reset --hard 【版本号】 发现只剩下两个版本了 2.…

二叉树简单实现(C语言版)

一.简单建二叉树 在学习二叉树的基本操作前,需先要创建一棵二叉树,然后才能学习其相关的基本操作。由于现在大家对二 叉树结构掌握还不够深入,为了降低大家学习成本,此处手动快速创建一棵简单的二叉树,快速进入二叉树 …

二叉树顺序结构与堆的概念及性质(c语言实现堆)

上次介绍了树,二叉树的基本概念结构及性质:二叉树数据结构:深入了解二叉树的概念、特性与结构 今天带来的是:二叉树顺序结构与堆的概念及性质,还会用c语言来实现堆 文章目录 1. 二叉树的顺序结构2.堆的概念和结构3.堆…

Kafka:本地设置

这是设置 Kafka 将数据从 Elasticsearch 发布到 Kafka 主题的三部分系列的第一部分;该主题将被 Neo4j 使用。第一部分帮助您在本地设置 Kafka。第二部分将讨论如何设置Elasticsearch将数据发布到Kafka主题。最后 将详细介绍如何使用连接器订阅主题并使用数据。 Kafka Kafka 是…

SpringBoot项目部署及多环境

1、多环境 2、项目部署上线 原始前端 / 后端项目宝塔Linux容器容器平台 3、前后端联调 4、项目扩展和规划 多环境 程序员鱼皮-参考文章 本地开发:localhost(127.0.0.1) 多环境:指同一套项目代码在把不同的阶段需要根据实际…

守护青山绿水 千巡翼Q20无人机变身护林员

守护青山绿水 千巡翼Q20无人机变身护林员 无人机目前在林业上的应用主要在森林资源调查、森林资源监测、森林火灾监测、森林病虫害监测防治、野生动物监测等方面。传统手段在森林资源调查中需要耗费大量人力物力,利用无人机技术可快速获得所需区域高精度信息&#…

Java核心知识点1-java和c++区别、隐式和显示类型转换

java和c区别 java通过虚拟机实现跨平台特性,但c依赖于特定的平台。java没有指针,它的引用可以理解为安全指针,而c和c一样具有指针。java支持自动垃圾回收,而c需要手动回收。java不支持多重继承,只能通过实现多个接口来…

WPF 消息日志打印帮助类:HandyControl+NLog+彩色控制台打印+全局异常捕捉

文章目录 前言相关文章Nlog配置HandyControl配置简单使用显示效果文本内容 全局异常捕捉异常代码运行结果 前言 我将简单的HandyControl的消息打印系统和Nlog搭配使用,简化我们的代码书写 相关文章 .NET 控制台NLog 使用 WPF-UI HandyControl 控件简单实战 C#更改…

【嵌入式开发 Linux 常用命令系列 7.3 -- linux 命令行数值计算】

文章目录 linux 命令行数值计算使用 awk使用 bc 命令使用 Bash 的内置算术扩展使用 expr脚本命令实现 linux 命令行数值计算 在 Linux 命令行中,您可以使用多种方法来执行基本的数学运算。以下是一些示例: 使用 awk awk 是一个强大的文本处理工具&…

Linux第一个小程序-进度条(c语言版)

目录 行缓冲区概念: 行缓冲区代码演示: ​编辑进度条代码 1:memset函数: 2:const char* lable"|/-\\"; 3:usleep C语言 usleep 函数的功能和用法: 4:进度条代码的实…

C语言经典算法【每日一练】20

题目&#xff1a;有一个已经排好序的数组。现输入一个数&#xff0c;要求按原来的规律将它插入数组中。 1、先排序 2、插入 #include <stdio.h>// 主函数 void main() {int i,j,p,q,s,n,a[11]{127,3,6,28,54,68,87,105,162,18};//排序&#xff08;选择排序&#xff09…

12.21自动售货机,单物品,多物品

自动售货机 if朴素方法 一种思路是用寄存器cnt记录已有的最小单位货币量&#xff0c;这里就是0.5 当d1时&#xff0c;cnt1;d2时&#xff0c;cnt2;d3时&#xff0c;cnt4; timescale 1ns/1ns module seller1(input wire clk ,input wire rst ,input wire d1 ,input wire d2 …

Python:日期和时间类型学习

背景 在非开发环境经常需要做一下日期计算&#xff0c;就准备使用Python&#xff0c;顺便记下来学习的痕迹。 代码 1 1 # coding utf-82 2 3 3 from datetime import *4 4 5 5 ########################## 日期 ##########################6 6 date_now date.today()…

【网络安全】全网最全的渗透测试介绍(超详细)

渗透测试介绍 渗透测试就是模拟攻击者入侵系统&#xff0c;对系统进行一步步地渗透&#xff0c;发现系统地脆弱环节和隐藏风险。最后形成测试报告提供给系统所有者。系统所有者可根据该测试报告对系统进行加固&#xff0c;提升系统的安全性&#xff0c;防止真正的攻击者入侵。…

【Leetcode 39】组合总和 —— 回溯法

39. 组合总和 给你一个无重复元素的整数数组candidates和一个目标整数target &#xff0c;找出candidates中可以使数字和为目标数target的 所有不同组合&#xff0c;并以列表形式返回。你可以按**任意顺序 **返回这些组合。 candidates中的同一个数字可以 无限制重复被选取 。…

C++线性表

线性表的定义及其运算 线性表是一种最简单、最基本也是最常用的线性结构。在线性结构中&#xff0c;数据元素之间存在一个对一个的线性关系&#xff0c;数据元素“一个接一个地排列”。在一个线性表中&#xff0c;数据元素的类型是相同的&#xff0c;或者说&#xff0c;线性表…