Debian SFTP如何端口转发

Debian 上 SFTP 的端口转发实用指南

一、概念与前提

• SFTP 基于 SSH，默认使用端口 22。所谓“端口转发”，通常是借助 SSH 隧道把本地的某个端口安全地转发到目标主机（或跳板机之后的内网主机）的 22 端口，然后用 SFTP 连接本地转发端口即可。这样既能加密传输，又能绕过防火墙/NAT 限制。若你只是想“更改 SFTP 监听端口”，那是 SSH 服务端的端口配置，并非隧道转发。

二、本地端口转发访问内网 SFTP（最常用）

• 场景：你在本地电脑，想访问位于内网的目标机 10.0.0.10 的 SFTP/SSH（22），但只能先连到跳板机 203.0.113.5。
• 命令（在本地执行）：

  ssh -N -f -L 8022:10.0.0.10:22 user@203.0.113.5
  

  含义：把本地的 8022 端口转发到 10.0.0.10:22，经由 203.0.113.5 中转；连接建立后不执行远程命令、转入后台。
• 连接测试：

  sftp -P 8022 user@127.0.0.1
  

• 说明：
  • 若跳板机与内网目标机是同一台，可简化为：ssh -N -f -L 8022:127.0.0.1:22 user@gateway。
  • 需要后台运行且不占用终端，使用 -f -N；如需查看调试信息可加 -v。
  • 若服务器 SSH 端口不是 22，把命令中的 22 替换为实际端口。

三、远程端口转发让外部访问本机 SFTP（反向隧道）

• 场景：你在内网机器 10.0.0.10 上，想让外部用户通过跳板机 203.0.113.5 访问本机的 SFTP/SSH（22）。
• 命令（在内网机器执行）：

  ssh -N -f -R 2222:127.0.0.1:22 user@203.0.113.5
  

  含义：在跳板机 203.0.113.5 上监听 2222，把流量转发到本机 22。
• 外部访问方式：

  sftp -P 2222 user@203.0.113.5
  

• 注意：
  • 默认仅允许跳板机本地访问转发的端口。若要让外部访问，需在跳板机的 /etc/ssh/sshd_config 中开启：

    GatewayPorts yes
    

    然后重启 sshd：sudo systemctl restart sshd。
  • 出于安全考虑，建议配合 密钥登录、限制来源 IP、或使用更严格的权限策略。

四、多层转发与链路示例

• 场景：本地要访问二层内网 10.0.0.10，只能先到跳板机 203.0.113.5，再到二层跳板 192.168.10.2。
• 步骤：
  1. 在二层跳板 192.168.10.2 上建立本地转发到目标：

     ssh -N -f -L 8022:10.0.0.10:22 user@10.0.0.10
     

  2. 在本地建立到二层跳板的转发，指向二层跳板本机的 8022：

     ssh -N -f -L 9022:127.0.0.1:8022 user@203.0.113.5
     

  3. 本地连接：

     sftp -P 9022 user@127.0.0.1
     

• 说明：多层转发本质是把每一跳的本地端口依次“串”起来，最终让本地端口直达最内层目标。

五、防火墙放行与常见问题

• 防火墙放行（Debian 常见做法）
  • 使用 UFW：

    sudo ufw allow 22/tcp
    sudo ufw allow 8022/tcp   # 本地转发端口示例
    sudo ufw allow 2222/tcp   # 远程转发端口示例
    

  • 使用 iptables/nftables：确保放行相应端口（以及已启用 IP 转发如需做 NAT/路由转发）。
• 服务端限制
  • 若目标机或跳板机的 /etc/ssh/sshd_config 对特定用户设置了 AllowTcpForwarding no，端口转发会被拒绝。示例（禁用某用户的转发）：

    Match User www-data
        AllowTcpForwarding no
    

    需要转发时请改为 yes 或注释该行并重启 sshd。
• 连接失败排查
  • 语法检查：sshd -t
  • 查看日志：sudo tail -f /var/log/auth.log
  • 确认转发是否建立成功、端口是否被占用、密钥/密码是否正确、以及防火墙是否放行对应端口。