问题[port-forwarding](unix)

我启用了 80 和 443。

sudo certbot certonly --standalone --agree-tos --no-eff-email --staple-ocsp --preferred-challenges http -m **@**.com -d mycomp.com
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Requesting a certificate for mycomp.com

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Could not bind TCP port 80 because it is already in use by another process on
this system (such as a web server). Please stop the program in question and then
try again.

让我们调试节目

ANotWorking
ERROR
mycomp.com has an A (IPv4) record (*.***.***.***) but a request to this address over port 80 did not succeed. Your web server must have at least one working IPv4 or IPv6 address.

我不明白端口 80 出了什么问题。如何解决这个问题？

OpenSSH 客户端有一个用于端口转发的命令行选项，使用如下：

ssh -L localport:server:serverport user@host

它将连接到hostas user，同时在localport客户端上重定向到serverporton server（可以是host或任何可host通过网络访问的东西）。

现在假设我已经通过 SSH 完成host了

ssh user@host

在会话中间我意识到我忘了转发端口。唉，我在做某事，所以我不只是想注销并通过端口转发重新建立 SSH 连接。

有没有办法将端口转发添加到正在运行的 SSH 会话中？

为简单起见，请给出我的服务器名称，server-A, server-B

• server-A- 一个简单的公共IP服务器，这个服务器是1G ram，共享CPU
• server-B- 更强大的服务器，具有更多内存、cpu 内核等...，但它没有公共 IP，它通过我无法访问的路由器，所以我无法为该服务器进行端口转发

我想运行一项服务，server-B以便人们能够连接到它，并且该服务的大量计算将运行server-B

因为我无法进行端口转发，server-B所以我想知道是否有任何网络服务可以执行类似反向 shell 的操作，server-B它将是发起连接server-A并创建隧道的服务，然后server-A将流量转发到由发起的隧道server-B

最后，人们将连接到server-A某个端口（例如 8080），server-A将接受该请求并将其转发到server-B他们共享的隧道

可能吗

注意 它们不在同一个局域网中，它们在完全不同的位置，server-B可以通过server-A互联网直接到达，但server-A不能server-B直接到达

我有一个 WireGuard 服务器作为边缘路由器。将所有 http 流量转发到我的网络服务器。一切正常，但有一个问题。Web 服务器无法通过 WireGuard 公共 IP 地址访问自身。在网络服务器计算机上，我无法使用网络浏览器访问我的网站。

我发现daddr基于 nat 可以解决这个问题，但我想知道是否有更好的方法，因为 IP 地址可能会有所不同但iif已修复。我的 Netgear WiFi 路由器可以进行端口转发，而不会出现这种问题。但我无法检查它的内部规则，我也不认为它使用daddr基于 nat。

这是WireGuard 服务器的配置。

wg0

interface: wg0
  Address = 10.0.0.1/24
  public key: (hidden)
  private key: (hidden)
  listening port: 51820
peer: (hidden)
  endpoint: (hidden):51820
  allowed ips: 10.0.0.2/32
  latest handshake: 56 seconds ago
  transfer: 20.69 MiB received, 115.85 MiB sent

表格

table ip firewall {
    chain input {
        type filter hook input priority filter; policy drop;
        ct state established,related accept
        udp dport {51820} accept
        tcp dport {22} accept
        ip saddr 10.0.0.0/24 accept
    }
    chain prerouting {
        type nat hook prerouting priority dstnat;
        iif eth0 tcp dport {80,443} dnat to 10.0.0.2
    }
    chain postrouting {
        type nat hook postrouting priority srcnat;
        ip saddr 10.0.0.0/24 masquerade
    }
    chain forward {
        type filter hook forward priority filter; policy drop;
        ct state established,related accept
        ct status dnat accept
        ip saddr 10.0.0.0/24 accept
    }
}

这是Web服务器的配置。

wg0

interface: wg0
  Address = 10.0.0.2/24
  public key: (hidden)
  private key: (hidden)
  listening port: 51820
  fwmark: 0xca6c
peer: (hidden)
  endpoint: (hidden):51820
  allowed ips: 0.0.0.0/0
  latest handshake: 25 seconds ago
  transfer: 114.69 MiB received, 3.56 MiB sent
  persistent keepalive: every 25 seconds

我正在使用此指令将端口转发到另一个，都在本地机器上：

socat -d -d TCP4-LISTEN:80,reuseaddr,fork TCP4:127.0.0.1:8000

我需要保持端口打开，除非目标端口关闭（连接拒绝）。

是否可以要求socat终止连接拒绝（启用分叉）？

当我尝试在云中的 Vps 上打开正向隧道时，它可以工作：

ssh -p 22 -i mykey user@vps-public-ip -L 10000:vps-private-ip:80

然后我的本地网络浏览器通过输入地址在 Vps 上显示页面http://localhost:10000

但是反向版本不起作用：

ssh -p 22 -i mykey user@vps-public-ip -R 10000:localhost:22

例如，目标是从我的工作场所连接到我家中的个人电脑，或者相反。

知道出了什么问题吗？端口 10000 在 Vps 的设置网页中显示为打开，在文件 /etc/ssh/sshd_config中，端口 22 和 10000 也明确打开。

在我的 linux VM 上，我有两个 IP

192.168.11.88 192.168.11.99

我希望 8889 端口上来自 192.168.11.99 的 ssh 流量将流量转发到端口 22 上的远程服务器 172.16.5.80

如何使用 IPTables 实现这一点

谢谢

正如 FelixJN 所建议的那样。我使用了 IPtables 的 socat 实用程序，以下配置有效，流量转发到远程服务器。

[Unit]
Description=forwards local port 192.168.56.70:8889 to 192.168.56.70:22
After=multi-user.target

[Service]
ExecStart=/usr/bin/socat -lf /var/log/socat-ssh.log TCP-LISTEN:8889,fork,bind=192.168.56.71 TCP:192.168.56.70:22
Restart=On-Failure
RestartSec=5
User=root

[Install]
WantedBy=multi-user.target

假设有一些服务器在 remotehost.some.where:4444 上运行。我有一个坚持连接到 localhost:5555 的软件。ssh我可以转发这个

ssh -L 5555:remotehost.some.where:4444 myuser@localhost

但这需要到 localhost 的不必要的 ssh 连接，添加-N不会阻止。如何在没有登录的情况下进行此端口转发，可能使用其他工具？

QEMU 的这个命令不需要 root 权限：

qemu-system-x86_64 -m 3072 -smp 2 -hda Debian9.qcow2 -device e1000,netdev=net0 -netdev user,id=net0,hostfwd=tcp::5555-:22,hostfwd=tcp::9000-:9000

当我添加 443 和 80 端口时，我需要 root 访问权限：

sudo qemu-system-x86_64 -m 3072 -smp 2 -hda Debian9.qcow2 -device e1000,netdev=net0 -netdev user,id=net0,hostfwd=tcp::5555-:22,hostfwd=tcp::9000-:9000,hostfwd=tcp::443-:443,hostfwd=tcp::80-:80

如果没有 root 访问权限，我会收到此错误消息：

qemu-system-x86_64: -netdev user,id=net0,hostfwd=tcp::5555-:22,hostfwd=tcp::9000-:9000,hostfwd=tcp::443-:443,hostfwd=tcp::80-:80: Could not set up host forwarding rule 'tcp::80-:80'

这是否意味着 QEMU 软件中保护了某种 TCP 端口访问？

https://zaiste.net/ssh_port_forwarding/#remote-port-forwarding

使用 -R 参数创建远程端口转发。

ssh -R source_port:forward_to_host:destination_port via_host 

此命令连接到 via_host。via_host 运行一个 SSH 服务器。然后它将所有连接尝试转发到远程 via_host 机器上的 source_port 到本地机器上的 destination_port 端口（启动 ssh 命令的机器）。forward_to_host 机器必须可以从本地机器机器访问。转发也可以通过 Unix 套接字完成。

destination_port启动 ssh 命令的机器上是否需要端口？

不是destination_port机器上的端口forward_to_host吗？

不一定forward_to_host是启动ssh命令的机器？

不是唯一的要求forward_to_host是它必须是从启动 ssh 命令的机器可以访问的任何机器吗？

谢谢。