一.  简介:

大多数人知道SSH是用来替代R命令集,是用于加密的远程登录,文件传输,甚至加密的FTP(SSH2内置), 因此SSH成为使用极广的服务之一,不仅如此,SSH还有另一项非常有用的功能,就是它的端口转发隧道功能,利用此功能,让一些不安全的服务象POP3,SMTP,FTP,LDAP等等通过SSH的加密隧道传输,然后,既然这些服务本身是不安全的,密码和内容是明文传送的,现在其它中间媒介也没无监听了。

二.   图示:

SSH的加密隧道保护的只是中间传输的安全性,使得任何通常的嗅探工具软件无法获取发送内容。如下图:假设客户机和服务器都运行Linux,且以POP3为例。

C (pop3 server: S) S

_______ ________

| | | |

| |________POP3___________ >| |

|_____| |______|

(图一:正常的POP3)

(图一:正常的POP3)

C (pop3 server:C) S (pop3 client: S)

_______ ________

| | | |

| |--------SSH连接--------->| |

|_____| |______|

(图二:SSH隧道后的POP3)

如图一: 正常的POP3连接是客户C向服务器S进行连接,C的设置是POP3服务器为S。

如图二: 用SSH隧道的话,客户C设置pop3服务器为自己(localhost),然后设置SSH加密隧道,如果设置在同样的端口110听取C的请求,则对C来说,pop3服务器是自己本身,端口也是110 对S来说,看到的pop3请求地址不是来自C,而也是自己本身,因为有了SSH隧道。

三.   SSH隧道设置

1. 首先必须在C和S上安装SSH,确保SSH首先能工作。

2. 我们用简单的一个命令如下:

# ssh -C -P -f sshaccount@S -L 110:S:110 sleep 7200

解释如下:

-C 使用压缩功能,是可选的,加快速度。

-P 用一个非特权端口进行出去的连接。

-f 一旦SSH完成认证并建立port forwarding,则转入后台运行。

sshaccount 客户C在服务器S上的SSH连接帐号

-L 110:S:110 转发C对本地端口110的连接到远程服务器S的110端口。

也可以用高端端口(普通用户使用,因为普通用户不能在低于1024的端口上建立SSH隧道)

如果用高端端口,如:-L 1110:S:110,这样任何用户都可建立这种加密隧道。

sleep 7200 一般用于script,必须给一个命令,我们给一个sleep等待空 命令,这里为2小时,你可以设为更长用于保持整个连接过程, 如 sleep 100000000 。

四.    检验

设置后你就可以在客户C上用 # telnet localhost 110 命令而连到 S 上收取email,而整个过程也被加密。

五.   其它常见问题:

1. 每次启动该命令时需要输入密码以验证SSH连接,你也可以用RSA键对的方法自动化SSH连接。看文章荟萃中的另一篇文章《如何在两台linux服务器之间用RSA键对的方法SSH/SCP不需密码》

2. 如果你希望上面的命令永远保持运行状态,你可以用如下的scripts.

#!/bin/sh

while [ 1 ] ; do

ssh -C -P -f sshaccount@S -L 110:S:110 sleep 7200

sleep 1

done

3. 你可以在一个命令中用多个L 参数 ,如 -L 1110:S:110 -L 225:S:25 -L389:S:389

4. 一些windows客户端软件,象netscape mail,不能改变pop3端口号,被强迫到110,则你只能指定110

5. Linux下的fetchmail常用来自动接收邮件,可在.fetchmailrc中利用preconnect参数预连接 ,指定上面的命令行。

6. 如果客户端是windows, 则可用tera Term pro,参考

http://www.phys.washington.edu/Computing/winftpssh.html