我有两台主机，A和B.主机A在端口8080上托管服务，并具有出站互联网防火墙规则，允许端口80和443访问主机C.

主机B与主机A在同一子网上。主机B被阻止到达互联网主机C.但是，主机A在外部防火墙上具有允许端口80和443出站到主机C的出站规则。

主机B运行具有硬编码URL的软件客户端，以从主机A（http端口8080）和主机C（http端口80）下载。同样，主机B被阻止通过防火墙到达主机C. 主机B上的客户端不支持SOCKS或任何其他代理功能。我可能达到主机C：80的唯一方法是通过主机A重定向或隧道。

我有对主机A和主机B的root访问权限。主机B如何通过端口80上的主机A到达主机C？

为什么这不适用于主机B？

ssh -L 80：hostC：80 root @ hostA -N

我在主机A上启用了AllowTCPForwarding和GatewayPorts。这是对的还是有一个我可以使用的iptables技巧？

这张图片是我想要的图表：http：//i.imgur.com/rOhQ9Us.png

正如@Nathan Adams所说，一张图片对解决这个问题特别有用。我之前没有遇到你想要做的事情，但在为我自己创建一个图表并阅读SSH的-L命令后，我怀疑问题是你需要以root身份运行它，就像你的端口一样试图绑定是一个特权端口（即<1025）。

防火墙在哪里，B本身或外部？

您的ssh命令无法正常工作，因为它绑定B上的端口80以转发到C到A.从您的描述中，您有一个硬编码地址，这意味着B不会尝试连接到端口80本身。硬编码地址是您的问题的关键。URL是否包含逻辑地址或实际的硬编码IP地址？

如果防火墙在B上，你必须避免将数据包发送到C。我认为情况并非如此，因为你在B上有root。但是，在这种情况下解决方案也应该工作无论什么，即找到一种方法来获得与C的连接而不是A。您可以通过操作DNS或使用防火墙重写规则来执行此操作。

另一个技巧是将A作为B的默认路由。假设C是外部的，并且在尝试将数据包返回到B时将触及防火墙，您需要为B执行A做NAT。真正粗暴的方法是响应ARP请求以诱使流量通过它，但除非在非常小的设置中，否则这不太可行。

看到这个寻找其他东西，但我想我会回答，即使它已经过时了：

在主持人B上：

ssh -L 8080:hostC:80 user@hostA -N -f
sudo iptables -t nat -A OUTPUT -d hostC -p tcp --dport 80 -j DNAT --to 127.0.0.1:8080

主机B上的软件是硬编码连接到HostC：80（根据问题），因此您必须重定向连接以通过您创建的SSH隧道。通过上述更改，您不需要以root身份运行任何内容。