使用 SecureCRT ®安全外壳连接作为 SOCKS 代理

有时需要访问位于单个网关服务器后面的远程网络中的许多设备。一种解决方案是与网关服务器建立 SSH 连接，然后通过远程外壳从该服务器向每个设备发出另一个 SSH 连接。这可能是有问题且耗时的，尤其是在需要两次以上跳跃的情况下。幸运的是，有一个更好的方法：动态端口转发。
SecureCRT 提供了使用动态端口转发配置创建 SSH 连接的能力，然后可以将其用作 SOCKS 代理以访问远程网络中的所有机器（网关后面）。使用 SSH SOCKS 代理，任何与 SOCKS 4 或 5 兼容的应用程序（包括使用 SecureCRT 建立的其他会话）都将能够通过此 SSH SOCKS 代理将其连接转发到所需的目的地。
本技巧侧重于使用 SecureCRT 的动态端口转发功能和“主”会话来创建与网关服务器连接关联的 SSH SOCKS 代理。然后，其他 SecureCRT 会话可以通过“主”会话的 SSH SOCKS 代理连接到位于网关服务器后面的远程服务器。下图说明了这个概念：



将“主会话”配置到网关服务器
第一步是配置一个“主”会话，该会话可以通过 SSH 协议成功连接到网关服务器（也称为“跳转主机”）。然后需要修改此“主”会话以具有动态端口转发配置。动态端口转发是充当 SOCKS 代理的侦听端口，在使用“主”会话连接到网关服务器时自动创建。请注意，此处使用的术语“网关服务器”是指任何支持端口转发功能的 SSH 服务器。
使用以下步骤完成动态端口转发的配置：
1.在 SecureCRT 中设置到网关服务器的 SSH 会话。
a.确保将主机名字段设置为与网关 SSH 服务器的主机名匹配。
b.将此会话命名为“Master”会话（您可以选择其他名称，但本文档中使用“Master”作为示例）。
c.测试您的“主”会话以确保您可以成功连接到网关 SSH 服务器并进行身份验证。



2.修改您的“主”会话以具有动态端口转发配置。
a.打开“主”会话的“会话选项”对话框。
b.选择连接/端口转发类别，然后按添加按钮。
c.在名称字段中，指定唯一描述。例如，SSH SOCKS 代理。
d.通过输入侦听端口值，为本地/端口字段输入一个值。由于此端口转发将用作 SOCKS 代理，因此指定1080（标准 SOCKS 端口）是有意义的。
e.启用使用 SOCKS 4 或 5 的动态转发选项（此配置中不会使用远程类别中的其他字段）。



f.由于此“主”会话将需要连接并为所有使用 SSH SOCKS 代理的会话保持连接，因此对“主”会话进行以下配置更改也是一个好主意（这两个选项都可以在会话选项对话框的主终端类别，如下所示）：
I.启用Send Protocol NO-OP选项并指定一个小于远程服务器或远程 shell 的空闲超时的时间间隔。
II.启用自动重新连接选项，这样如果连接意外断开，SecureCRT 将自动尝试重新建立连接。



在 SecureCRT 中配置全局防火墙/代理设置
现在在“主”会话中设置了动态端口转发，需要创建全局防火墙配置，以便其他 SecureCRT 会话可以使用 SSH SOCKS 代理。在 SecureCRT 中设置全局防火墙/代理：
1.打开 SecureCRT 的全局选项对话框并选择防火墙类别。
2.按添加按钮并使用以下配置指南。
a.指定防火墙的名称（例如：Gateway Firewall）。
b.将 Type 字段设置为SOCKS 版本 5（无身份验证）。
c.在主机名或 IP字段中，键入：127.0.0.1。
d.设置端口字段以匹配您的“主”会话的动态端口转发设置配置为侦听的内容（根据前面的示例为1080 ）。

3.在“防火墙属性”对话框上按下“确定”按钮后，新的防火墙配置应出现在“全局选项”对话框的“防火墙”类别内的“防火墙”列表中，并且可以在其他 SecureCRT 会话配置以及“快速连接”窗口中使用。
配置 SecureCRT“客户端”会话以通过 SSH SOCKS 代理进行连接
按照上面部分的说明配置防火墙/代理后，新的或现有会话的“会话选项”对话框应在与正在使用的协议匹配的类别中提供新的防火墙（在示例中名为“网关防火墙”）。详细来说，任何配置为连接到网关服务器后面的机器的会话都可以将此防火墙用作连接配置选项中的防火墙设置，如下图所示：



通过 SSH SOCKS 代理连接时，主机名解析发生在 SSH 网关服务器上。因此，您将指定网关服务器已知的主机名，它将代表 SecureCRT 建立与主机的连接。
把所有东西放在一起
如上所述创建“主”和“客户端”会话后，通过 SSH SOCKS 代理连接到网关后面的机器的过程非常简单：
1.使用“主”会话连接到网关机器。
为了连接到网关服务器局域网中的机器，“主”会话必须首先连接成功。
给 Windows 用户的提示：一些用户可能希望在他们的 Windows 配置文件启动文件夹中设置一个快捷方式，以使用“主”会话启动 SecureCRT，从而允许“主”会话在他们登录后立即启动并运行。视窗系统。快捷方式的Run 属性可以设置为Minimized以确保 SecureCRT 应用程序以最小化状态启动。
2.连接到位于网关服务器 LAN 内的机器。
在前面描述的示例会话配置中，创建并保存了一个会话，其中包含指示 SecureCRT 使用“主”会话提供的 SSH SOCKS 代理的配置。
但是，使用保存的会话不是必需的。调出快速连接对话框、指定远程主机名并选择 SSH SOCKS 防火墙/代理配置作为要使用的防火墙同样容易（见下图）。按下连接按钮，将启动通过 SSH SOCKS 代理的连接。



更进一步：SSH SOCKS 代理“链接”
在某些网络配置中，可能需要通过主远程网络上的另一台网关机器访问辅助网络。如果您必须通过一个网关服务器并连接到另一个网关服务器才能到达最终目的地，您可能会对“链接”SSH SOCKS 代理感兴趣，如下图所示。



一旦你有了一个“主”会话，可以让你到达你的第一台网关机器并设置第一层的 SSH SOCKS 代理，请按照以下一般步骤通过主 SSH SOCKS 代理“链接”辅助 SSH SOCKS 代理：
1.创建一个“辅助主”会话，通过“主”会话提供的 SSH SOCKS 代理连接到辅助网关机器。例如：
a.设置主机名字段以匹配辅助网关机器的名称（图中的网关 B）。
b.配置防火墙字段以匹配您之前创建的防火墙（网关防火墙）的名称，以便“辅助主”会话通过“主”会话的 SSH SOCKS 代理进行连接。
c.使用动态转发配置“辅助主”会话的端口转发类别，该转发侦听与“主”会话的 SSH SOCKS 代理不同的端口。在我们之前的示例中，“主”会话的动态转发 SOCKS 代理配置为侦听默认 SOCKS 端口 1080。您的“辅助主”会话必须侦听不同的端口，因为端口 1080 已经绑定到“主”会话的SSH SOCKS 代理监听端口。例如，您可以使用端口 11080。
1.在Global Options对话框中创建一个新的防火墙配置，方法与我们之前的示例中描述的方式相似（请参阅上面的“在 SecureCRT 中配置全局防火墙/代理设置”），主要区别在于防火墙的名称（即， “二级网关防火墙”）和端口（端口应与您在上面的步骤 1c 中选择的端口匹配）。
一旦在 SecureCRT 的全局选项中定义了“Secondary Master”会话和相应的防火墙，您就可以使用以下步骤连接到第二个网关机器后面的第三层机器：
1.连接到“主”会话（如果尚未连接）。
2.连接到“Secondary Master”会话（如果尚未连接）。
3.使用与“Secondary Master”会话的动态端口转发对应的全局防火墙定义（名为“Secondary Gateway Firewall”）连接到第三层机器的实际主机名（图中的服务器C ）。
如何在 SecureCRT 中修改端口转发过滤器
默认情况下，只允许来自 SecureCRT 机器上的环回适配器 (127.*) 的连接连接到 SSH SOCKS 代理端口。