Linux SSH端口转发设置教程

本文系统讲解了在Linux环境下实现安全、灵活端口转发的六大实用方法：从SSH原生支持的本地（-L）、远程（-R）和动态（-D）三种隧道模式，到脱离SSH依赖的iptables、firewalld及rinetd等替代方案，覆盖内网服务访问、本地服务暴露、SOCKS代理、防火墙穿透及生产级持久化转发等典型场景，帮助开发者和系统管理员轻松应对网络隔离、安全策略限制等现实挑战，真正实现“一隧道通全局”的高效运维体验。

如果您在Linux系统中需要将本地或远程服务端口通过加密通道暴露或访问，则可能是由于网络隔离、防火墙限制或安全策略导致直连不可行。以下是实现SSH端口转发的多种具体方法：

一、本地端口转发（-L）

本地端口转发将本地机器上的指定端口流量，经由SSH连接加密后转发至远程服务器可访问的目标地址与端口，适用于从本地安全访问远程内网服务。

1、执行命令启动本地端口转发：ssh -f -N -L 8080:192.168.1.100:80 user@remote-server-ip

2、确认远程服务器上192.168.1.100:80服务可达且SSH用户具备网络路由权限

3、在本地浏览器中访问 http://localhost:8080 即可访问远程内网Web服务

4、如需允许局域网其他设备访问该转发端口，添加-g参数：ssh -f -N -g -L 0.0.0.0:8080:192.168.1.100:80 user@remote-server-ip

二、远程端口转发（-R）

远程端口转发将远程服务器上的监听端口流量，经由SSH反向隧道转发至本地机器上指定服务端口，适用于将本地开发环境服务暴露给受限网络中的远程方。

1、确保远程服务器sshd_config中已启用 AllowTcpForwarding yes 和 GatewayPorts yes

2、重启SSH服务：sudo systemctl restart sshd

3、在本地执行远程端口转发命令：ssh -f -N -R 0.0.0.0:9000:localhost:3000 user@remote-server-ip

4、远程服务器上其他用户即可通过 http://remote-server-ip:9000 访问本地3000端口服务

三、动态端口转发（-D）

动态端口转发在本地创建一个SOCKS代理服务器，所有经由此代理的TCP连接均通过SSH加密隧道转发，适用于灵活代理多端口、多目标的网络请求。

1、在本地启动动态代理：ssh -f -N -D 1080 user@remote-server-ip

2、配置浏览器或系统网络设置为SOCKS5代理，地址为 127.0.0.1，端口为 1080

3、验证代理可用性：curl --proxy socks5://127.0.0.1:1080 https://httpbin.org/ip

4、如需全局代理效果，可配合proxychains工具使用：proxychains curl https://httpbin.org/ip

四、基于iptables的端口转发

当SSH连接不可用或需绕过SSH协议限制时，可直接在Linux主机上启用内核IP转发并配置iptables规则，实现透明端口映射。

1、启用IPv4转发：echo "net.ipv4.ip_forward = 1" | sudo tee -a /etc/sysctl.conf && sudo sysctl -p

2、将发往本机8080端口的TCP流量重定向至本地22端口：sudo iptables -t nat -A PREROUTING -p tcp --dport 8080 -j REDIRECT --to-port 22

3、将发往本机8000端口的流量DNAT至另一台内网服务器：sudo iptables -t nat -A PREROUTING -d 192.168.1.200 -p tcp --dport 8000 -j DNAT --to-destination 192.168.1.101:80

4、配置SNAT确保响应包正确返回：sudo iptables -t nat -A POSTROUTING -d 192.168.1.101 -p tcp --dport 80 -j SNAT --to-source 192.168.1.200

五、使用firewalld配置端口转发

在CentOS/RHEL 7+或Fedora等使用firewalld的系统中，可通过firewall-cmd命令实现持久化端口转发规则，无需手动管理iptables链。

1、启用伪装（masquerade）：sudo firewall-cmd --permanent --add-masquerade

2、配置端口转发规则，将本机12345端口流量转发至192.168.1.102的22端口：sudo firewall-cmd --permanent --add-forward-port=port=12345:proto=tcp:toaddr=192.168.1.102:toport=22

3、重新加载firewalld配置：sudo firewall-cmd --reload

4、验证规则是否生效：sudo firewall-cmd --list-all | grep forward-port

六、使用rinetd实现轻量级端口转发

rinetd是一个独立运行的TCP端口转发守护进程，不依赖SSH，适合长期稳定转发且资源占用低的场景。

1、安装rinetd：sudo yum install rinetd（CentOS/RHEL）或 sudo apt install rinetd（Debian/Ubuntu）

2、编辑配置文件 /etc/rinetd.conf，添加转发规则：0.0.0.0 8080 192.168.1.100 80

3、启用并启动服务：sudo systemctl enable rinetd && sudo systemctl start rinetd

4、检查rinetd监听状态：sudo netstat -tuln | grep :8080

以上就是《Linux SSH端口转发设置教程》的详细内容，更多关于的资料请关注golang学习网公众号！