PuTTY 实战：一步步配置 SSH 隧道与端口转发

• 当远程服务只能在内网访问时，如何优雅地把流量引出来？
• 先理解三种转发模式的本质差异
• 本地端口转发（Local Forwarding）
• 远程端口转发（Remote Forwarding）
• 动态端口转发（Dynamic Forwarding / SOCKS）
• 在 PuTTY 中配置的思路（不涉及命令与脚本）
• 常见配置场景与注意事项
• 场景一：访问公司内网 Web 服务
• 场景二：把家里设备暴露到外网
• 场景三：一键全局代理
• 安全与性能两条必须重视的线
• 排错清单：哪些常见问题会让隧道“不通”
• 何时选择其他工具：SSH 隧道的局限与替代
• 实战小结（提炼为几条可直接复用的经验）

当远程服务只能在内网访问时，如何优雅地把流量引出来？

在穿越受限网络、访问内网资源或为特定应用建立加密通道时，SSH 隧道与端口转发是一种稳定且广泛支持的解决方案。对于 Windows 用户来说，PuTTY 是最常见的客户端之一。本篇通过原理剖析与实际配置流程，带你从概念、场景判断到在 PuTTY 中逐步完成本地/远程/动态端口转发的设置，使你能在不同需求下选择合适的转发模式。

先理解三种转发模式的本质差异

本地端口转发（Local Forwarding）

本地端口转发把本地机器的某个端口绑定到 SSH 服务器，然后通过服务器访问目标主机和端口。常见场景是把公司内网数据库或内网管理界面映射到本机，使本地应用像访问本地服务一样访问远程内网资源。

远程端口转发（Remote Forwarding）

远程端口转发则是把 SSH 服务器上的端口映射到你的本地机器或另一台可达机器，适用于让对方或外网机器访问你本地服务的场景。例如，你在家里运行了一个 HTTP 服务但没有公网 IP，可以通过远程转发把服务器上的一个端口映射到你家中的服务。

动态端口转发（Dynamic Forwarding / SOCKS）

动态转发创建一个本地 SOCKS 代理，客户端可以把任意流量通过这个代理转发到 SSH 服务器并从服务器出站。适合浏览器或支持 SOCKS 的应用实现全流量代理，灵活性最高，但性能和并发受限于 SSH 通道。

在 PuTTY 中配置的思路（不涉及命令与脚本）

PuTTY 的配置界面将 SSH 会话与端口转发设置拆分为会话管理、连接选项和隧道设置三部分。关键是先建立一个可用的 SSH 会话，再在“隧道”面板定义转发条目并保存到会话配置中以便复用。

配置步骤的逻辑顺序：

• 在会话面板填写服务器地址与端口，给会话命名并保存。
• 转到连接 → SSH → 隧道，选择转发类型（本地/远程/动态）。
• 输入源端口（本地或远程的监听端口）以及目标地址（仅本地转发/远程转发需要，格式为目标主机:端口）。
• 添加条目并返回会话面板，保存修改，随后打开会话并进行验证。

常见配置场景与注意事项

场景一：访问公司内网 Web 服务

你在外网，只需本地端口转发，把本地一个高位端口映射到公司内网 Web 服务器的 80 或 443 端口。访问时在浏览器输入 localhost:本地端口 即可。注意如果 Web 服务基于主机名做虚拟主机分配，可能需要在本机 hosts 做额外解析或使用浏览器插件修改 Host 头。

场景二：把家里设备暴露到外网

此时选远程端口转发，在服务器上监听一个端口并转发到家中设备的内网 IP。通常需要在 SSH 服务器允许远程绑定并配置适当的安全组/防火墙规则，否则外网无法直接访问。安全方面要考虑身份验证和尽量限制绑定地址。

场景三：一键全局代理

使用动态端口转发建立 SOCKS 代理后，可在浏览器中把 SOCKS5 代理指向本地监听端口，实现浏览器流量走 SSH 隧道。此方式无需为每个目标定义转发规则，但对 UDP 或高并发场景支持不足。

安全与性能两条必须重视的线

安全上，优先使用密钥认证并禁用密码登录；对远程端口转发要限制绑定地址（避免 0.0.0.0）并在服务器端配置防火墙白名单。性能上，SSH 本身是加密通道，会带来一定额外延迟，长链路或高带宽场景下需要注意 MTU、压缩设置以及服务器的带宽和 CPU 负载。

排错清单：哪些常见问题会让隧道“不通”

• 端口已被占用：检查本地或服务器监听端口是否被其他进程占用。
• 防火墙或安全组拦截：确认两端防火墙规则允许相应端口的进出流量。
• SSH 服务器配置限制：服务器可能禁用远程转发或只允许特定用户转发。
• 目标地址与 DNS 问题：确保转发目标在发起方能被解析和访问（尤其是远程转发的目标通常是发起方可达的地址）。
• 认证失败或密钥权限错误：检查密钥格式、权限与代理配置。

何时选择其他工具：SSH 隧道的局限与替代

SSH 隧道适合点对点、低到中等流量、需要简单快速部署的场景。如果需要企业级流量转发、复杂策略、流量分发或高可用，考虑 VPN（如 OpenVPN、WireGuard）或专用代理解决方案（如 SOCKS 代理池、HTTP 反向代理）。其中 WireGuard 在性能和跨平台简洁性上通常优于基于 SSH 的方案，但部署复杂度和适用场景不同。

实战小结（提炼为几条可直接复用的经验）

1.先确定是“把服务从远端映射到本地”还是“把本地服务暴露到远端”，选择本地或远程转发。
2.需要灵活代理多目标流量时优先考虑动态（SOCKS）转发。
3.一切配置完成后，用本地端口检测工具和目标服务本身逐步验证连接链路，先确认 SSH 会话是否建立，再检查端口映射与访问。
4.安全优先：使用密钥认证、限制监听地址并结合防火墙规则。

通过理解三种端口转发的差异与在 PuTTY 中的实际配置流程，你可以把 SSH 隧道作为一把灵活的网络工具，既能解决临时访问需求，也能作为长期的小型代理方案。在不同网络环境下合理取舍，并结合安全策略，就能把这把工具用得稳、用得安心。