通过远程连接的管理工具利用开启隧道的形式转发端口的做法，现在大家或多或少都用过吧。但是直接在命令行使用ssh添加-L或者-R的方式来进行代理或者反向代理转发，又有多少人试过呢？

ssh -L 和 ssh -R 是 SSH（Secure Shell）命令的两个参数，它们用于设置端口转发。端口转发允许您通过一个安全的 SSH 连接将一个端口从一个网络转发到另一个网络。

下面通过假设下面的一个架构，来模拟演示如何不用图形软件仅在命令行中创建隧道转发端口。

一、ssh -L（本地端口转发）

-L 参数用于创建一个从本地机器到远程机器的端口转发。这种类型的转发通常用于将远程服务器上的服务转发到本地机器，以便可以安全地访问它。

语法：

ssh -L 本地端口:远程地址:远程端口 用户名@远程主机

• 本地端口：在本地机器上监听的端口。
• 远程地址：远程机器的地址，可以是远程机器本机的 localhost或者远程机器可以访问到的其他机器的IP。
• 远程端口：远程机器上的端口，您想要从本地访问的服务的端口。

例一： 假设您想要从本地机器安全地访问远程服务器上的 MySQL 数据库服务器，该服务器运行在远程服务器的 3306 端口上。

ssh -L 3306:localhost:3306 用户名@远程主机

这个命令会在本地机器上监听 3306 端口，并将其转发到远程主机的 3306 端口。然后，您可以在本地机器上使用 MySQL 客户端连接到 localhost:3306，实际上您连接的是远程服务器上的 MySQL 服务。

具体的运行效果：

假设mysql服务器在虚拟局域网中的IP为10.147.17.253

sean@MacBook-Pro ~ % ssh -L 3306:localhost:3306 root@10.147.17.253
The authenticity of host '10.147.17.253 (10.147.17.253)' can't be established.
ED25519 key fingerprint is SHA256:O/lqToPCh+PXli4FJkjumWlnltaq5UHmsLeKFhS8QgE.
This key is not known by any other names.
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
Warning: Permanently added '10.147.17.253' (ED25519) to the list of known hosts.
root@10.147.17.253's password:
Last login: Wed Oct  2 10:41:06 2024 from 10.147.17.211
[root@databases ~]#

ssh连接成功后，就可以在本地通过映射的端口进行访问了

例二： 上面的例子中算了一个了解ssh转发的入门及例子。因为你都可以直接访问到数据库所在的服务器了，那么为什么不直接就访问器端口呢？

现在咱们让网络环境进一步的复杂化，如果现在虚拟局域IP为10.147.17.224的服务器不是mysql的服务器，而是一台跳板机，数据库是在跳板机同一网络中为192.168.1.98。要连接到数据库的命令就变成了这样：

sean@MacBook-Pro ~ % ssh -L 3306:192.168.1.98:3306 root@10.147.17.224
root@10.147.17.224's password:
Last login: Wed Oct  2 11:24:38 2024 from 10.147.17.211

如此也就可以在没有其他远程连接软件配置隧道的情况下，通过命令行打开SSH的端口转发，访问到跳板机内的其他服务。

二、ssh -R（远程端口转发）

-R 参数与 -L 类似，但它是用于创建从远程机器到本地机器的端口转发。这种类型的转发通常用于让远程服务器能够访问本地机器上的服务。

语法：

ssh -R 远程端口:远程地址:本地端口 用户名@远程主机

• 远程端口：在远程机器上监听的端口。
• 远程地址：远程机器的地址（通常是 localhost）。
• 本地端口：本地机器上的端口，您想要从远程服务器访问的服务的端口。

例子： 假设您想要从远程服务器访问本地机器上的 Web 服务器，该服务器运行在本地机器的 8880 端口上。

ssh -R 8880:localhost:8880 用户名@远程主机

这个命令会在远程机器上监听 8880 端口，并将其转发到本地机器的 8880 端口。然后，您可以在远程服务器上访问 localhost:8880，实际上您访问的是本地机器上的 Web 服务。

为了演示这个例子，咱们先在本地拉取一个nginx的镜像，然后将其映射到本地的8880端口，

sean@MacBook-Pro ~ % docker pull nginx:alpine
alpine: Pulling from library/nginx
43c4264eed91: Pull complete
5b19511a843d: Pull complete
652d69a25e85: Pull complete
51676974aef5: Pull complete
bb16f69e8876: Pull complete
6fb07faa0055: Pull complete
c298c5a0cd21: Pull complete
0c02f601d0ee: Pull complete
Digest: sha256:a5127daff3d6f4606be3100a252419bfa84fd6ee5cd74d0feaca1a5068f97dcf
Status: Downloaded newer image for nginx:alpine
docker.io/library/nginx:alpine

What's Next?
  View a summary of image vulnerabilities and recommendations → docker scout quickview nginx:alpine
sean@MacBook-Pro ~ % docker run -d -p 8880:80 --name demoweb nginx:alpine
b5065e9215161ff292c4e321ccb05df9518bf8a393d165d87e42eaf8480cd659
sean@MacBook-Pro ~ %

远程登录后成功后，远程即可通过其本地端口进行访问了

sean@MacBook-Pro ~ % ssh -R 8880:localhost:8880 root@10.147.17.224
root@10.147.17.224's password:
Last login: Wed Oct  2 11:26:50 2024 from 10.147.17.211
[root@desktop-centos ~]# curl localhost:8880
<!DOCTYPE html>
<html>
<head>
<title>Welcome to nginx!</title>
<style>
html { color-scheme: light dark; }
body { width: 35em; margin: 0 auto;
font-family: Tahoma, Verdana, Arial, sans-serif; }
</style>
</head>
<body>
<h1>Welcome to nginx!</h1>
<p>If you see this page, the nginx web server is successfully installed and
working. Further configuration is required.</p>

<p>For online documentation and support please refer to
<a href="http://nginx.org/">nginx.org</a>.<br/>
Commercial support is available at
<a href="http://nginx.com/">nginx.com</a>.</p>

<p><em>Thank you for using nginx.</em></p>
</body>
</html>

三、注意事项

• 在使用端口转发时，您需要确保 SSH 服务端允许该类型的转发，并且您有足够的权限在两端设置端口转发。
• 对于 -L 和 -R 转发，您可能需要在 SSH 服务端的配置文件 /etc/ssh/sshd_config 中设置 AllowTcpForwarding yes。
• 如果您在防火墙后面，您可能需要在防火墙规则中允许转发的端口。

端口转发是 SSH 的强大功能之一，它可以帮助您安全地访问位于不同网络中的服务。

如果您对我的文章有兴趣，我把我发布的文章都归档到我私人网站中去，欢迎访问 Corner 三的小角落 -- 首页 查阅之前的文章。