SecureCRT如何进行SSH隧道设置

SecureCRT SSH隧道设置指南

一 准备工作

• 收集连接信息：SSH 服务器的 IP/域名 与 端口（默认 22）、登录凭据；目标服务的 IP 与端口（如内网 Web 80、数据库 3306、RDP 3389）。
• 检查服务器配置：确保远程 SSH 服务器的 /etc/ssh/sshd_config 中 AllowTcpForwarding=yes，否则端口转发不生效。
• 连通性验证：先用 SecureCRT 正常登录 SSH 服务器，确认会话稳定（隧道依赖该连接）。

二 三种隧道配置步骤

• 本地端口转发（最常用）
  1. 打开会话属性：右键会话 → Properties → Connection → Port Forwarding → Add。
  2. 参数：Type=Local；Local Port（如 8080）；勾选 Destination host is different from the SSH server；填写目标服务 Remote Host（如 192.168.1.100）与 Remote Port（如 80）。
  3. 保存并重新连接，浏览器访问 http://localhost:8080 验证。
• 远程端口转发（内网穿透）
  1. 新建规则：Type=Remote；Remote Port（如 5707，在 SSH 服务器上监听）；Local Host（如 192.168.1.20）与 Local Port（如 3389）。
  2. 若需互联网访问，可在 SSH 服务器上配合反向代理（如 Nginx）或内网穿透服务，将公网端口映射到 5707。
  3. 外网访问示例：RDP 连接到 服务器公网IP:5707。
• 动态端口转发（SOCKS 代理）
  1. 新建规则：Type=Dynamic；Local Port（如 1080）。
  2. 在浏览器或应用设置 SOCKS 代理为 127.0.0.1:1080，实现多服务的统一加密转发。

三 常用验证与示例

• 本地转发访问内网 Web：本地端口 8080 → 目标 192.168.1.100:80，访问 http://localhost:8080。
• 本地转发访问内网 MySQL：本地端口 3307 → 目标 192.168.1.50:3306，客户端命令：
  mysql -h 127.0.0.1 -P 3307 -u your_user -p
• 远程转发暴露本机 RDP：SSH 服务器监听 5707 → 本机 192.168.1.20:3389，外网 RDP 连接 服务器IP:5707。

四 常见问题与排查

• 端口被占用：更换未被占用的端口；Windows 执行 netstat -ano | findstr “端口号”，Linux 执行 lsof -i :端口号。
• 仅本机能访问转发端口：SecureCRT 默认仅允许 127.0.0.1 访问转发规则。可在会话配置文件 session.ini 添加规则：
  port forward filter = allow, 0.0.0.0/0.0.0.0, 0（允许任意来源；生产环境请按网段细化）。
• 服务器未放行转发：确认 AllowTcpForwarding=yes 并重启 sshd。
• 算法不兼容导致握手失败：在 SecureCRT 的 Options → Global Options → SSH → Key Exchange 调整算法，与服务器 /etc/ssh/sshd_config 的 KexAlgorithms/HostKeyAlgorithms 保持一致；必要时重启 sshd。
• 隧道依赖会话：SSH 会话断开，转发即失效，需保持连接或使用自动重连。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！