新闻速递SSH隧道和代理连接参考2023/2/3 11:58:47

哦不明白

我们可以使用的更通用的工具之一是。作为管理远程主机的首选远程访问工具而广为人知，它具有许多非常有用的附加便利功能。例如，我们可以使用传输文件，将远程主机挂载为络文件系统，并生成密钥。软件研发的相关资讯可以到我们网站了解一下，从专业角度出发为您解答相关问题，给您优质的服务！

从TCPIP堆栈的早期开始，远程节点访问是必须的。然而，为它设计的协议——用于交互式访问的和用于文件传输的FTP——缺乏一个非常基本的安全措施：数据流没有加密。
因此，使用这些协议传输的数据可以被和W等络流量分析工具捕获和审查。由于用户和密码以明文形式交换，攻击者很容易收集它们。
为了解决这个问题和其他限制，在其连接中现了加密。这样，只要它使用了适当的配置、强加密和密钥交换模式，我们就可以确保我们的通信不会在途中被截获。
更有用的功能之一，但并不广为人知，是建立隧道和代理的能力。这样，我们可以使用会话连接其他对我们不可见的远程服务，例如受防火墙保护的服务：
客户端机器在打开会话的同时，指示SSH服务器打开可以双向工作的隧道。
它还可以作为XW协议的代理，允许我们在本地打开远程GUI应用程序，或者作为SOCKS4或5兼容的代理服务器，允许客户端从远程站点模拟SSH服务器访问多个目的地。
它支持完整的类似的体验，它能够使用设备对2级或3级数据包进行隧道传输。
首先，我们可能会注意到，允许隧道通过连接可能是一种安全隐患，因为它可以穿透我们的防火墙策略。因此，必须注意不要暴露我们可能希望对不需要的访问保持关闭的服务和主机。出于这个原因，一些L发行版默认禁用隧道和代理。
SSHD选项
通过编辑_文件来启用（服务于会话的守护进程）。它的位置略有不同，但通常位于或上。相关的配置键是：

ASLF：允许转发U域套接字。省略时，默认值为ATF：允许TCP端口转发。省略时，默认值是允许。它启用单个TCP端口转发和代理DF：禁用各种转发。覆盖（如果启用）所有其他相关配置选项GP：允许其他主机使用转发到客户端的端口（反向隧道）。默认情况下，只有运行SSH服务器的主机才能使用反向隧道。默认禁用PL：指定可以绑定以允许端口转发到客户端的地址和端口。如果我们启用GP，它会提供更精细的控制。默认为（R70R和R::1R）PO：指定TCP转发可能指向的地址和端口。默认情况下，启用任何目的地PT：指定是否允许设备转发。默认为否XF：指定是否允许X转发。默认为否XUL：强制X转发只允许来自SSH服务器主机环回地址。如果禁用，SSH服务器络上的其他主机可能会使用它。默认为真主机上的其他配置可能会影响的转发和代理能力。AA和SEL可能会禁止其中一些选项。此外，某些主机防火墙配置可能会限制连接到外部服务的能力。请注意，默认情况下，绑定下的监听端口需要权限。
当然，中间防火墙必须允许SSH流量，通常在端口TCP上，但我们可以通过更改_文件中的默认值来使用其他端口。
转发TCP隧道
单端口
转发或直接TCP隧道是遵循从客户端到SSH服务器的SSH连接方向的隧道。关于SSH的介绍性教程简要描述了这种类型的转发。
要创建直接TCP转发隧道，我们必须在命令行上使用-L选项：
-L[_:]::[@]__
可选的_分配一个客户端本地接口来监听连接。如果我们省略它，只会绑定在环回接口上。我们还可以使用“0000”或“::”来绑定所有接口。因此，如果我们发出以下命令：
-L0000:82:0:@
我们将在IP地址和一个隧道上打开到主机的SSH连接，监听客户端端口82，指向主机0上的SSH地址。
这样，如果连接进入客户端端口82，它将使用SSH服务器IP地址转发到目标主机和端口，看起来就像它们之间的常规本地络。
同样，要转发本地套接字（不太常见），我们可以使用：
-L_::[@]__
或者我们可以使用：
-L_:_[@]__
动态或多端口
前向TCP隧道的一个特例是S代理功能。使用这些选项，SSH客户端侦听指定的绑定端口并充当SOCKS4或5代理服务器。
任何使用SOCKS协议到绑定端口的连接都将使用其自己的IP地址转发到SSH服务器。为此，我们将使用：
-D[_:][@]__
请注意，在这种情况下，我们甚至不需要为转发指定目标主机和端口。指定端口上的所有符合SOCKS的传入连接都将流经隧道。
要使用它，我们当然必须配置将使用隧道的应用程序在命令行指定的绑定地址和端口上使用代理服务器。例如，发出后：
-D80@0
我们可以在客户端主机上配置一个浏览器，以使用70端口80上的SOCKS代理服务器。这样，我们可以像使用安装在0的SSH服务器上的浏览器一样浏览W。
如果客户端应用程序不支持SOCKS代理怎么办我们可以使用代理链或等解决方案来拦截套接字系统调用并强制连接流经SOCKS代理。
反向隧道
单端口
反向或回调代理允许我们执行与上述类似的技巧，但方向相反。我们可以在自己的本地络上向SSH会话远程端的主机打开服务。命令语法与直接转发非常相似：
-R[_:]::[@]__
这将创建一个反向隧道。它将远程SSH服务器上收到的任何连接转发到_:到本地客户端络:。如果我们省略_参数，它只绑定到环回接口。
同样，使用套接字，我们可以使用种不同的语法：
-R_::[@]__
-R_:_[@]__
-R[_:]:_[@]__
动态或多端口
比较后，我们可以在远程主机上公开一个指向客户端络的SOCKS代理服务器，就像我们可以使用直接转发一样。我们只能通过省略本地目标主机和端口来做到这一点：
-R[_:][@]__
这会在远程SSH服务器上打开一个端口，该端口将用作本地客户端络的SOCKS服务器，可能会穿透任何适用于远程SSH服务器的出站流量规则。
W隧道
反向隧道的一种特殊情况是隧道X连接的能力。这样，在SSH连接的远程端运行的GUI应用程序可以利用运行X服务器的本地端来公开它们的用户界面。
SSH负责建立所需的隧道。此外，它设置SSH服务器上X客户端应用程序所需的DISPLAY环境变量。这样，他们就会知道如何正确连接本地客户端的X服务器。
有两种X转发，应用X安全扩展限制：
-X[@]__
或者假设一个不会强制执行X安全扩展的可信环境创建隧道：
-Y[@]__
多隧道和多主机跳跃
我们可以根据需要创建任意数量的隧道，混合类型和方向。我们可以通过在命令行中添加更多选项来现这一点：
-X-L5432::5432-R873::873[@]__
这打开了到远程PSQL服务器的直接转发，到本地服务器的反向隧道，并允许GUI应用程序流向我们的本地X服务器。
我们还可以使用SSH隧道到达更远的SSH服务器，为它们创建隧道，穿透我们需要的尽可能多的防火墙层，在每个连接上创建隧道，直到我们可以到达所需的点：
-L82::@1
-L83::-82@
-83@
该序列在每一步都创建了一条从1和2到下一个服务器的隧道，直到在本地端口83上打开的隧道允许我们到达3。
在复杂的场景中，在命令行上创建多个隧道可能会很棘手，因为它可能会导致很长的命令行。
这就是为什么比较可爱的特性之一是允许在配置文件中使用任何命令行参数。我们可以使用全局客户端配置文件（位于_或_）或使用位于~的用户特定配置文件。如果它不存在，这是默认设置，我们将不得不创建一个新的。
在这些文件中，我们可以为每个常用端点指定默认配置，包括转发隧道和代理：
0
FX
LF0000:54320:5432
RF:82:

这将使用用户RR连接到0上的远程SSH服务器，允许：
XW反向隧道
从本地端口5432直接隧道到远程主机0端口5432
SSH服务器环回接口中端口82上的反向回调隧道到我们的本地客户端主机
还有许多其他选项可用，例如压缩、K身份验证转发等。此外，主机规范允许使用通配符。
顺便说一句，只要SSH连接保持，SSH隧道就存在。即使我们甚至可以配置会话保持活动的频率和超时以促进连接丢失检测，但完全自动化SSH会话的创建和重新连接也会很好。
为此，一个方便的软件是。此用程序可以自动创建和重新创建SSH会话。如果我们添加身份验证密钥，如我们的SSH密钥教程中所示，只要正在运行，隧道就会在没有用户干预的情况下打开。它的语法是：
[-V][-M[:_]][-][SSH_OPTIONS]
-V：显示版本
-M：在端口上创建直接隧道，环回到反向隧道_。它提供了一个活着的检查机制。但是，使用比较近的OSSH，我们可以使用_文件中的SAI和SACM选项来获得类似的结果
-：在运行之前强制在后台运行
SSH_OPTIONS:我们用来启动的选项
这样，要启动持久连接，我们可以使用：
-X-L5432::5432-R873::873[@]__
如果我们定义了主机配置，命令行就简单多了：
本文展示了我们可以使用做的一些很好的技巧，以提高我们使用其隧道功能与远程主机之间的可访问性。
但是，我们必须始终牢记，对主机的访问会扩大其络攻击面。因此，使用任何类型的隧道都可能会增加风险，从而可以更轻松地通过我们的SSH服务器络进行水平移动。
比较后，还有一种隧道：设备隧道,这种隧道将端点所在的两个远程段绑定在一起。可以选择使用它来创建第2层隧道，其行为就像双方都在本地络或第3层隧道上一样。在这种情况下，每一方都有自己的IP子，并且SSH端点必须配置为在它们之间路由流量。