ssh是我使用最频繁的两个命令行工具之一(另一个则必须是vim)。有了ssh,我可以远程处理各种可能出现的问题而无需肉身到现场。
这几天teamviewer被黑的事情影响挺大,于是由远程控制想到了内网穿透,自然而然的想到了ssh的端口转发也能实现内网穿透。再细想一下,发现ssh隧道、或者说端口转发,竟然实现了正向代理、反向代理和内网穿透三种常用的网络功能,更佩服其功能的强大和使用中的便利。
ssh有三种端口转发模式,本文一一对其做简要介绍。
本地转发
本地端口转发(Local Port Forwarding),是将本地主机某个端口流量转发到远程主机的指定端口。其命令行语法是:-L [bind_address]:localport:[remote_host]:remote_port。”-L”即“local”的首字母,类似的远程转发的”-R”是“remote”的首字母,动态转发的“-D”是“dynamic”的首字母,很好记。
举一个例子说明本地转发的使用场景。
CentOS 7安装GUI界面及远程连接一文中介绍了安装vnc服务并开启端口访问。在实际中,暴露出来的59xx端口每天都会源源不断的受到自动化脚本的爆破攻击。如果你的vnc和登录用户使用弱密码或字典密码,主机安全将受到极大威胁。这种情形下该如何防护?
一种简单安全的防护方法是:使用iptables/firewalld关闭端口的外网访问,有连接需求时用ssh隧道转发端口:
ssh -L5901:5901 username@host
该命令中将本地的5901端口通过ssh隧道转发到远程主机的5901端口,远程连接时输入localhost或者127.0.0.1和5901端口便连到了远程主机的5901端口。通过iptables和ssh的本地转发,实现了他人无法连接,只有自己才能访问的目的。
需要注意的是“-L”选项中的“远程主机”并不特指连接过去的机器(默认是连接上的机器),可以是任何一主机。例如可以将本机的8080端口流量转发到facebook.com的80端口:
ssh -L8080:facebook.com:80 username@host
远程转发
远程端口转发(Remote Port Forwarding),是将远程主机某个端口转发到远程主机的指定端口。其命令行语法是:-R [bind_address]:port:[local_host]:local_port。
远程转发最常用的功能是内网穿透。有一个公网ip的主机,便可以借助ssh隧道的远程转发实现内网渗透,达到外网访问内网资源的目的。需要注意的是ssh远程转发默认只能绑定远程主机的本地地址,即127.0.0.1。如果想要监听来自其他主机的连接,需要修改远程主机ssh的配置,将”GatewayPorts”改成“yes”,重启ssh后生效。
一个将远程的8080端口流量转发到本地80web端口的示例:
ssh -R0.0.0.0:8080:80 username@host
通过远程转发,访问公网ip主机的8080端口便是访问内网web主机的80端口,这样就实现了内网穿透。
动态转发
无论本地转发还是远程转发,都需要指定本地和远程主机的端口。动态转发(Dynamic Port Forwarding)则摆脱这种限制,只绑定本地端口,远程主机和端口由发起的请求决定。动态转发的语法是:”-D bind_address:port”,一个转发示例:
ssh -D 8080 username@host
该命令让ssh监听本地8080端口,经过8080端口的流量都通过ssh隧道由远程 服务器 代为请求,从而达到获取被屏蔽资源、隐藏真实身份的目的。
动态转发实际上实现了正向代理功能,因此可以用来科学上网。本地转发也可以做正向代理,但要对每一个请求的主机和端口做转发,比较繁琐,实践中不会这么用。
其它
本篇文章到此结束,如果您有相关技术方面疑问可以联系我们技术人员远程解决,感谢大家支持本站!
香港服务器首选树叶云,2H2G首月10元开通。树叶云(shuyeidc.com)提供简单好用,价格厚道的香港/美国云服务器和独立服务器。IDC+ISP+ICP资质。ARIN和APNIC会员。成熟技术团队15年行业经验。
远程监控怎么装 ,用花生壳区域名怎么设置 路由怎么设
net target=_blank>:BOSCH408主机+BOSCH室外探头+BOSCH对射。 价格是700+600*N+400*N+线材实体店。 d)录像机和路由器都不带DDNS的,但网络中有电脑。 可以在电脑装花生壳客户端1、电脑用的话,申请动态域名后,下载个花生壳客户端软件。 在软件中填花生壳的用户名和秘码。 2、如果是硬盘录像机用的话情况有很多种: a)录像机带DDNS管理并且直接接上宽带猫的,只需把录像机DDNS管理中申请到的花生壳和用户名以及拔号设置填正确就可以了。 b)录像机带DDNS管理,但用路由器连接的。 c)录像机不带DDNS,但路由器带DDNS的。 录像机的DDNS管里填花生壳的用户名和秘码。 并把路由器的DMZ设成录像机地址。 如果院墙和工厂用报警器:1)经济型:枫叶主机+枫叶室外探头+艾礼富对射。 价格是300+180*N+200*N+线材2)标准型:光明科技朝阳技术服务中心辽宁省朝阳市双塔区朝阳大街圣达电脑商场 网址:
路由器和集线器有什么区别
路由器是一种多端口设备,它可以连接不同传输速率并运行于各种环境的局域网和广域网,也可以采用不同的协议。 路由器属于O S I 模型的第三层。 而集线器仅仅是物理层连接,连接的是相同传输速率和协议类型的计算机或终端。 简单说,路由器用于同种或不同类型网络之间的连接,而集线器只负责在一个网络连接不同计算机或终端,应用于局域网内机器的连接,而路由器用于局域网与广域网,广域网与广域网之间的连接首先说HUB,也就是 集线器 。 它的作用可以简单的理解为将一些机器连接起来组成一个局域网。 而 交换机 (又名交换式集线器)作用与集线器大体相同。 但是两者在性能上有区别:集线器采用的式共享带宽的工作方式,而交换机是独享带宽。 这样在机器很多或数据量很大时,两者将会有比较明显的。 而 路由器 与以上两者有明显区别,它的作用在于连接不同的网段并且找到网络中数据传输最合适的路径 ,可以说一般情况下个人用户需求不大。 路由器是产生于交换机之后,就像交换机产生于集线器之后,所以路由器与交换机也有一定联系,并不是完全独立的两种设备。 路由器主要克服了交换机不能路由转发数据包的不足。 问:什么是交换机? ——答:交换机也叫交换式集线器,它通过对信息进行重新生成,并经过内部处理后转发至指定端口,具备自动寻址能力和交换作用,由于交换机根据所传递信息包的目的地址,将每一信息包独立地从源端口送至目的端口,避免了和其他端口发生碰撞,因此,交换机可以同时互不影响的传送这些信息包,并防止传输碰撞,提高了网络的实际吞吐量。 问:什么是路由器? ——答:路由器(Router)是网络连接设备的重要组成部分,它相对网桥提供了一个更高层次的LAN互联。 路由器能根据分组类型过滤和选择路由,支持在LAN段之间有多个链路的网络,当某个链路损坏时,可选择其他路由以及根据网络通信的情况决定路由。 问:什么是级联? ——答:级联是通过双绞线把需要级联的设备通过级联端口相连接,从而达到增加同一网络端口数目的方法。 问:什么是集线器? ——答:集线器是对网络进行集中管理的最小单元,它只是一个信号放大和中转的设备,不具备自动寻址能力和交换作用,由于所有传到集线器的数据均被广播到与之相连的各个端口,因而容易形成数据堵塞。 总的来说,路由器与交换机的主要区别体现在以下几个方面: (1)工作层次不同 最初的的交换机是工作在OSI/RM开放体系结构的数据链路层,也就是第二层,而路由器一开始就设计工作在OSI模型的网络层。 由于交换机工作在OSI的第二层(数据链路层),所以它的工作原理比较简单,而路由器工作在OSI的第三层(网络层),可以得到更多的协议信息,路由器可以做出更加智能的转发决策。 (2)数据转发所依据的对象不同 交换机是利用物理地址或者说MAC地址来确定转发数据的目的地址。 而路由器则是利用不同网络的ID号(即IP地址)来确定数据转发的地址。 IP地址是在软件中实现的,描述的是设备所在的网络,有时这些第三层的地址也称为协议地址或者网络地址。 MAC地址通常是硬件自带的,由网卡生产商来分配的,而且已经固化到了网卡中去,一般来说是不可更改的。 而IP地址则通常由网络管理员或系统自动分配。 (3)传统的交换机只能分割冲突域,不能分割广播域;而路由器可以分割广播域 由交换机连接的网段仍属于同一个广播域,广播数据包会在交换机连接的所有网段上传播,在某些情况下会导致通信拥挤和安全漏洞。 连接到路由器上的网段会被分配成不同的广播域,广播数据不会穿过路由器。 虽然第三层以上交换机具有VLAN功能,也可以分割广播域,但是各子广播域之间是不能通信交流的,它们之间的交流仍然需要路由器。 (4)路由器提供了防火墙的服务 路由器仅仅转发特定地址的数据包,不传送不支持路由协议的数据包传送和未知目标网络数据包的传送,从而可以防止广播风暴。 交换机一般用于LAN-WAN的连接,交换机归于网桥,是数据链路层的设备,有些交换机也可实现第三层的交换。 路由器用于WAN-WAN之间的连接,可以解决异性网络之间转发分组,作用于网络层。 他们只是从一条线路上接受输入分组,然后向另一条线路转发。 这两条线路可能分属于不同的网络,并采用不同协议。 相比较而言,路由器的功能较交换机要强大,但速度相对也慢,价格昂贵,第三层交换机既有交换机线速转发报文能力,又有路由器良好的控制功能,因此得以广泛应用。
引起网络广播风暴的几种原因
目前,工作在网吧网络中的网络设备,基本上都是交换机了。 对于交换机,大家并没有真正的了解其工作原理。 一、交换机基础知识1、交换机的定义:交换机是一种基于MAC(网卡的硬件地址)识别,能完成封装转发数据包功能的网络设备。 交换机可以学习MAC地址,并把其存放在内部地址表中,通过在数据帧的始发者和目标接收者之间建立临时的交换路径,使数据帧直接由源地址到达目的地址。 现在,交换机已经替代了我们原来比较熟悉的网络设备集线器,又称Hub。 但是这并不意味着,我们不需要了解Hub的基本知识。 2、集线器的定义:集线器(HUB)属于数据通信系统中的基础设备,它和双绞线等传输介质一样,是一种不需任何软件支持或只需很少管理软件管理的硬件设备。 它被广泛应用到各种场合。 集线器工作在局域网(LAN)环境,像网卡一样,应用于OSI参考模型第一层,因此又被称为物理层设备。 集线器内部采用了电器互联,当维护LAN的环境是逻辑总线或环型结构时,完全可以用集线器建立一个物理上的星型或树型网络结构。 在这方面,集线器所起的作用相当于多端口的中继器。 其实,集线器实际上就是中继器的一种,其区别仅在于集线器能够提供更多的端口服务,所以集线器又叫多口中继器。 二、交换机与集线器的区别1、交换机与集线器的本质区别:用集线器组成的网络称为共享式网络,而用交换机组成的网络称为交换式网络。 共享式以太网存在的主要问题是所有用户共享带宽,每个用户的实际可用带宽随网络用户数的增加而递减。 这是因为当信息繁忙时,多个用户可能同时争用一个信道,而一个信道在某一时刻只允许一个用户占用,所以大量的用户经常处于监测等待状态,致使信号传输时产生抖动、停滞或失真,严重影响了网络的性能。 2、在交换式以太网中,交换机提供给每个用户专用的信息通道,除非两个源端口企图同时将信息发往同一个目的端口,否则多个源端口与目的端口之间可同时进行通信而不会发生冲突。 通过实验测得,在多服务器(server网络资源)组成的LAN 中,处于半双工模式下的交换式以太网的实际最大传输速度是共享式网络的1.7倍,而工作在全双工状态下的交换式以太网的实际最大传输速度可达到共享式网络的3.8倍。 交换机只是在工作方式上与集线器不同,其他的如连接方式、速度选择等与集线器基本相同,目前的交换机同样从速度上分为10M、100M和1000M几种,所提供的端口数多为8口、16口和24口几种。 交换机在局域网中主要用于连接工作站、Hub、服务器(server网络资源)或用于分散式主干网。 三、产生广播风暴的原因通过对以上网络设备的了解,我们就可以简单分析出来,网络产生广播风暴的原因了。 一般情况下,产生网络广播风暴的原因,主要有以下几种:1、网络设备原因:我们经常会有这样一个误区,交换机是点对点转发,不会产生广播风暴。 在我们购买网络设置时,购买的交换机,通常是智能型的Hub,却被奸商当做交换机来卖。 这样,在网络稍微繁忙的时候,肯定会产生广播风暴了。 2、网卡损坏:如果网络机器的网卡损坏,也同样会产生广播风暴。 损坏的网卡,不停向交换机发送大量的数据包,产生了大量无用的数据包,产生了广播风暴。 由于网卡物理损坏引起的广播风暴,故障比较难排除,由于损坏的网卡一般还能上网,我们一般借用Sniffer局域网管理软件,查看网络数据流量,来判断故障点的位置。 3、网络环路:曾经在一次的网络故障排除中,发现一个很可笑的错误,一条双绞线,两端插在同一个交换机的不同端口上,导致了网络性能急骤下降,打开网页都非常困难。 这种故障,就是典型的网络环路。 网络环路的产生,一般是由于一条物理网络线路的两端,同时接在了一台网络设备中。 4、网络病毒:目前,一些比较流行的网络病毒,Funlove、震荡波、RPC等病毒,一旦有机器中毒后,会立即通过网络进行传播。 网络病毒的传播,就会损耗大量的网络带宽,引起网络堵塞,引起广播风暴。
发表评论