一。簡(jiǎn)介：
大多數(shù)人知道SSH是用來替代R命令集，是用于加密的遠(yuǎn)程登錄，文件傳輸，甚至加密的FTP(SSH2內(nèi)置)， 因此SSH成為使用極廣的服務(wù)之一，不僅如此，SSH還有另一項(xiàng)非常有用的功能，就是它的端口轉(zhuǎn)發(fā)隧道功能，利用此功能，讓一些不安全的服務(wù)象POP3，SMTP，F(xiàn)TP，LDAP等等通過SSH的加密隧道傳輸，然后，既然這些服務(wù)本身是不安全的，密碼和內(nèi)容是明文傳送的，現(xiàn)在其它中間媒介也沒無監(jiān)聽了。
二。圖示：
SSH的加密隧道保護(hù)的只是中間傳輸?shù)陌踩裕沟萌魏瓮ǔ５男崽焦ぞ哕浖o法獲取發(fā)
送內(nèi)容。如下圖：
假設(shè)客戶機(jī)和服務(wù)器都運(yùn)行Linux，且以POP3為例。
C (pop3 server: S) S
_______ ________
| | | |
| |________POP3___________ >| |
|_____| |______|
(圖一：正常的POP3)
(圖一：正常的POP3)
C (pop3 server:C) S (pop3 client: S)
_______ ________
| | | |
| |--------SSH連接--------->| |
|_____| |______|
(圖二：SSH隧道后的POP3)
如圖一： 正常的POP3連接是客戶C向服務(wù)器S進(jìn)行連接，C的設(shè)置是POP3服務(wù)器為S。
如圖二： 用SSH隧道的話，客戶C設(shè)置pop3服務(wù)器為自己(localhost)，然后設(shè)置SSH加密隧道，如果設(shè)置在同樣的端口110聽取C的請(qǐng)求，則對(duì)C來說，pop3服務(wù)器是自己本身，端口也 是110 對(duì)S來說，看到的pop3請(qǐng)求地址不是來自C，而也是自己本身，因?yàn)橛辛薙SH隧道。
三。SSH隧道設(shè)置
1. 首先必須在C和S上安裝SSH，確保SSH首先能工作。
2. 我們用簡(jiǎn)單的一個(gè)命令如下：
# ssh -C -P -f sshaccount@S -L 110:S:110 sleep 7200
解釋如下：
-C 使用壓縮功能，是可選的，加快速度。
-P 用一個(gè)非特權(quán)端口進(jìn)行出去的連接。
-f 一旦SSH完成認(rèn)證并建立port forwarding，則轉(zhuǎn)入后臺(tái)運(yùn)行。
sshaccount 客戶C在服務(wù)器S上的SSH連接帳號(hào)
-L 110:S:110 轉(zhuǎn)發(fā)C對(duì)本地端口110的連接到遠(yuǎn)程服務(wù)器S的110端口。
也可以用高端端口(普通用戶使用，因?yàn)槠胀ㄓ脩舨荒茉诘陀?024的端口上建立SSH隧道)
如果用高端端口，如：-L 1110:S:110,這樣任何用戶都可建立這種加密隧道。
sleep 7200 一般用于script,必須給一個(gè)命令，我們給一個(gè)sleep等待空 命令，這里為2小時(shí)，你可以設(shè)為更長(zhǎng)用于保持整個(gè)連接過程, 如 sleep 100000000 。
四。檢驗(yàn)
設(shè)置后你就可以在客戶C上用 # telnet localhost 110 命令而連到 S 上收取email，而整個(gè)過程也被加密。
五。其它常見問題：
1. 每次啟動(dòng)該命令時(shí)需要輸入密碼以驗(yàn)證SSH連接，你也可以用RSA鍵對(duì)的方法自動(dòng)化SSH連接。
看文章薈萃中的另一篇文章《如何在兩臺(tái)linux服務(wù)器之間用RSA鍵對(duì)的方法SSH/SCP不需密碼》
2. 如果你希望上面的命令永遠(yuǎn)保持運(yùn)行狀態(tài)，你可以用如下的scripts.
#!/bin/sh
while [ 1 ] ; do
ssh -C -P -f sshaccount@S -L 110:S:110 sleep 7200
sleep 1
done
3. 你可以在一個(gè)命令中用多個(gè)L 參數(shù) ,如 -L 1110:S:110 -L 225:S:25 -L389:S:389
4. 一些windows客戶端軟件，象netscape mail,不能改變pop3端口號(hào)，被強(qiáng)迫到110，則你只能指定110
5. Linux下的fetchmail常用來自動(dòng)接收郵件，可在.fetchmailrc中利用preconnect參數(shù)預(yù)連接 ，指定上面的命令行。
6. 如果客戶端是windows, 則可用tera Term pro,參考http://www.phys.washington.edu/Computing/winftpssh.html