通过SSH隧道传输数据非常简单：

ssh -D9999 username@example.com

在您的上将端口9999设置localhost为的隧道example.com，但我有一个更具体的需求：

• 我在当地工作 localhost
• host1 可访问 localhost
• host2 仅接受来自 host1
• 我需要创建一个从localhost到的隧道host2

实际上，我想创建一个“多跳” SSH隧道。我怎样才能做到这一点？理想情况下，我想执行此操作而无需成为任何计算机上的超级用户。

您基本上有三种可能性：

1. 从localhost到的隧道host1：

   ssh -L 9999:host2:1234 -N host1
   

   如上所述，将不会确保从host1到的连接host2。

2. 从隧道localhost到host1从host1到host2：

   ssh -L 9999:localhost:9999 host1 ssh -L 9999:localhost:1234 -N host2
   

   这将打开从隧道localhost到host1从另一个隧道host1来host2。但是9999to 的端口host2:1234可以由上的任何人使用host1。这可能是问题，也可能不是问题。

3. 从隧道localhost到host1从localhost到host2：

   ssh -L 9998:host2:22 -N host1
   ssh -L 9999:localhost:1234 -N -p 9998 localhost
   

   这将打开一条隧道localhost，以host1通过SSH服务上host2都可以使用。然后，第二条隧道从localhost到host2第一条隧道打开。

通常，我会选择选项1。如果需要保护从host1至的连接host2，请选择选项2。方法3主要用于访问host2只能从host2自身访问的服务。

有一个很好的答案解释了ProxyCommandSSH 的配置指令的用法：

将此添加到您的~/.ssh/config（请参阅man 5 ssh_config有关详细信息）：

Host host2
  ProxyCommand ssh host1 -W %h:%p

然后ssh host2将自动通过隧道host1（也适用于X11转发等）。

这也适用于整个主机类别，例如按域标识：

Host *.mycompany.com
  ProxyCommand ssh gateway.mycompany.com -W %h:%p

更新资料

OpenSSH 7.3引入了一个ProxyJump指令，将第一个示例简化为

Host host2
  ProxyJump host1

OpenSSH v7.3 -J及ProxyJump更高版本支持一个开关和一个选项，这些选项和选项允许一个或多个逗号分隔的跳转主机，因此，您现在就可以执行以下操作：

ssh -J jumpuser1@jumphost1,jumpuser2@jumphost2,...,jumpuserN@jumphostN user@host

我们有一个进入我们专用网络的ssh网关。如果我在外面，并且想要在专用网络内部的计算机上使用远程外壳，则必须SSH进入网关，然后从那里进入专用计算机。

要自动执行此过程，我使用以下脚本：

#!/bin/bash
ssh -f -L some_port:private_machine:22 user@gateway "sleep 10" && ssh -p some_port private_user@localhost

怎么了：

1. 为ssh协议（端口22）建立到专用计算机的隧道。
2. 仅在成功的情况下，才使用隧道将其SSH到专用计算机中。（&&操作员确保这一点）。
3. 关闭私有ssh会话后，我也希望ssh隧道也关闭。这是通过“睡眠10”技巧完成的。通常，第一个ssh命令将在10秒后关闭，但是在此期间，第二个ssh命令将使用隧道建立连接。结果，第一个ssh命令使隧道保持打开状态，直到满足以下两个条件：sleep 10完成并且不再使用隧道。

阅读以上内容并将所有内容粘合在一起之后，我创建了以下Perl脚本（将其保存为/ sh / bin中的mssh并使其可执行）：

#!/usr/bin/perl

$iport = 13021;
$first = 1;

foreach (@ARGV) {
  if (/^-/) {
    $args .= " $_";
  }
  elsif (/^((.+)@)?([^:]+):?(\d+)?$/) {
    $user = $1;
    $host = $3;
    $port = $4 || 22;
    if ($first) {
      $cmd = "ssh ${user}${host} -p $port -o UserKnownHostsFile=/dev/null -o StrictHostKeyChecking=no";
      $args = '';
      $first = 0;
    }
    else {
      $cmd .= " -L $iport:$host:$port";
      push @cmds, "$cmd -f sleep 10 $args";
      $cmd = "ssh ${user}localhost -p $iport -o UserKnownHostsFile=/dev/null -o StrictHostKeyChecking=no";
      $args = '';
      $iport ++;
    }
  }
}
push @cmds, "$cmd $args";

foreach (@cmds) {
  print "$_\n";
  system($_);
}

用法：

要通过HOSTA和HOSTB（同一用户）访问HOSTC，请执行以下操作：

mssh HOSTA HOSTB HOSTC

要通过HOSTA和HOSTB访问HOSTC并使用非默认SSH端口号和其他用户：

mssh user1@HOSTA:1234 user2@HOSTB:1222 user3@HOSTC:78231

要通过HOSTA和HOSTB访问HOSTC并使用X转发：

mssh HOSTA HOSTB HOSTC -X

要通过HOSTA和HOSTB访问HOSTC上的端口8080：

mssh HOSTA HOSTB -L8080:HOSTC:8080

这个答案与kynan相似，因为它涉及到ProxyCommand的使用。但是使用IMO更方便。

如果您的跃点计算机中安装了netcat，则可以将此代码段添加到〜/ .ssh / config中：

Host *+*
    ProxyCommand ssh $(echo %h | sed 's/+[^+]*$//;s/\([^+%%]*\)%%\([^+]*\)$/\2 -l \1/;s/:/ -p /') nc $(echo %h | sed 's/^.*+//;/:/!s/$/ %p/;s/:/ /')

然后

ssh -D9999 host1+host2 -l username

将按照您的要求进行。

我来这里是寻找这个技巧的原始地方。找到链接后，我会发布一个链接。

我做了什么，我想你想和做

ssh -D 9999 -J host1 host2

提示我输入两个密码，然后可以使用localhost：9999作为host2的SOCKS代理。我能想到的最接近您最初显示的示例。

ssh -L 9999:host2:80 -R 9999:localhost:9999 host1

-L 9999：host2：80

意味着绑定到localhost：9999，任何发送到localhost：9999的数据包都将其转发到host2：80

-R 9999：localhost：9999

表示host1：9999收到的任何数据包都将其转发回localhost：9999

你应该可以使用端口转发到访问服务host2的localhost。一个很好的指南位于这里。摘抄：

端口转发有两种：本地转发和远程转发。它们分别也称为传出隧道和传入隧道。本地端口转发将进入本地端口的流量转发到指定的远程端口。

例如，如果您发出命令

ssh2 -L 1234:localhost:23 username@host

到达客户端上的端口1234的所有流量都将转发到服务器（主机）上的端口23。请注意，建立连接后，sshdserver将解析localhost。因此，在这种情况下，localhost是指服务器（主机）本身。

远程端口转发的功能与此相反：它将来自远程端口的流量转发到指定的本地端口。

例如，如果您发出命令

ssh2 -R 1234:localhost:23 username@host

服务器（主机）上到达端口1234的所有流量都将转发到客户端（本地主机）上的端口23。

在你的施法，取代localhost与例子host2和host用host1。

在这个答案中，我将举一个具体的例子。您只需要用您的计算机替换主机名，用户名和密码。

问题陈述

假设我们具有以下网络拓扑：

our local computer <---> server 1 <---> server 2

为了具体起见，假设我们具有以下计算机的主机名，用户名和密码：

LocalPC            <--->  hostname: mit.edu         <---> hec.edu
                          username: bob                   username: john 
                          password: dylan123              password: doe456

目标：我们要设置一个端口侦听SOCKS代理9991的LocalPC，这样每次在连接LocalPC开始从端口 9991它通过mit.edu然后hec.edu。

用例示例：出于安全原因，hec.edu拥有一个只能在http://127.0.0.1:8001上访问的HTTP服务器 。我们希望能够通过打开Web浏览器访问 http://127.0.0.1:8001LocalPC。

组态

在中LocalPC，添加~/.ssh/config：

Host HEC
    HostName hec.edu
    User john
    ProxyCommand ssh bob@mit.edu -W %h:%p

然后在的终端中LocalPC，运行：

ssh -D9991 HEC

它将询问您bobon 的密码mit.edu（即dylan123），然后询问您johnon 的密码hec.edu（即doe456）。

那时，SOCKS代理现在在的端口9991上运行LocalPC。

例如，如果您想LocalPC使用SOCKS代理访问网页，则可以在Firefox中进行：

一些说明：

• 在~/.ssh/config，HEC是连接名称：您可以将其更改为你想要的任何东西。
• 该-D9991通知ssh以设立端口SOCKS4代理9991。

如果可以同时在两台计算机上使用SSH，请查看ssh的ProxyCommand指令。这将使您直接从localhost进入host2（如果使用公共密钥，只需一个简单的命令！）。然后，您可以使用host2做任何您想做的事情。

http://www.statusq.org/archives/2008/07/03/1916/

最佳答案的选项2 可以用于与当前aka用户不同的ssh用户：user @ host

    export local_host_port=30000
    export host1_user=xyz
    export host1=mac-host
    export host1_port=30000
    export host2=192.168.56.115
    export host2_user=ysg
    export host2_port=13306

    # Tunnel from localhost to host1 and from host1 to host2
    # you could chain those as well to host3 ... hostn
    ssh -tt -L $local_host_port:localhost:$host1_port $host1_user@$host1 \
    ssh -tt -L $host1_port:localhost:$host2_port $host2_user@$host2

就我而言

localhost$ ssh -D 9999 host1
host1$ ssh -L 8890:localhost:8890 host2

在host2:8890Jupyter Notebook上运行的位置。

然后，我将Firefox配置为localhost:9999用作SOCKS主机。

因此，现在我可以在计算机上host2的Firefox localhost:8890上运行该笔记本了。

接受的答案中提到的三个选项对我根本不起作用。由于我对这两个主机的权限不高，并且看来我们的DevOps团队在进行身份验证和执行MFA时具有非常严格的规则。上面的命令以某种方式无法与我们的身份验证完美配合。

上下文实际上与上面的答案类似：我无法直接SSH进入生产服务器，而必须使用跳转服务器进行1跳。

另一个解决方案-天真的解决方案

我最终以一种非常幼稚的方式完成了此操作：我没有尝试在笔记本电脑上运行所有命令，而是在每台计算机上运行命令，如下所示：

1. SSH进入您的跳转服务器，然后运行ssh -v -L 6969:localhost:2222 -N your-protected.dest.server。如果系统提示您输入任何密码，请输入密码。
2. 现在，在您的笔记本电脑上，运行ssh -v -L 6969:localhost:6969 -N your-jump-server.host.name。这会将您在笔记本电脑上端口6969上的任何请求转发到跳转服务器。然后，由于我们在上一步中进行了配置，因此跳转服务器将再次将端口6969的请求转发到受保护的目标服务器上的端口2222。

打印一些消息后，您应该在此看到“挂起”命令-这意味着它们正在工作！一个例外-您不应看到类似的错误消息Could not request local forwarding.，如果看到该错误消息，则它仍然不起作用:(。您现在可以尝试从笔记本电脑向端口6969发出请求，并查看它是否正常工作。

希望如果您是上述所有方法均未通过，可以尝试一下。