By Jermine

当你使用 SSH 的 -L-R-D 进行端口转发时,如果遇到如下错误:

channel 2: open failed: administratively prohibited: open failed

这意味着:你尝试建立的隧道被远程 SSH 服务器(sshd)的安全策略拒绝了。 本文将详细解释错误原因,并提供一步步的解决方案。

错误原因深度解析

这个错误的根源通常在于远程服务器的 SSH 服务端配置/etc/ssh/sshd_config)或 用户的授权密钥文件~/.ssh/authorized_keys)。常见原因包括:

原因 说明
AllowTcpForwarding no 服务器管理员全局禁用了所有端口转发功能(最常见)
PermitOpen 限制 服务器只允许转发到特定的目标地址和端口
authorized_keys 中的 no-port-forwarding 你的公钥前面带有该选项,禁用了你个人的端口转发权限
本地端口权限不足 使用 -L-D 时试图绑定低于 1024 的特权端口(非 root 用户)
GatewayPorts no(针对 -R 反向转发绑定的端口默认只能本地访问,指定 0.0.0.0 时会被拒绝

逐步解决方案

请按顺序尝试以下方法,每一步都需要在远程服务器上操作。

1. 修改全局 SSH 服务配置(最常见)

如果你有服务器的 sudo 权限,这是最有效的解决方法。

  1. 登录到远程服务器:

    1ssh user@remote-server

  2. 编辑 sshd_config

    1sudo vi /etc/ssh/sshd_config

  3. 确认或添加以下配置项:

    1AllowTcpForwarding yes
2GatewayPorts yes          # 若使用 -R 且需要外网访问,设为 yes
3# PermitOpen               # 可暂时注释掉该行进行测试
4PermitTunnel yes          # 虽然不是主因,但建议设为 yes

  4. 保存文件并重启 SSH 服务:

    1sudo systemctl restart sshd   # 大多数 Linux 发行版
2# 或
3sudo service sshd restart

  5. 重新建立 SSH 隧道测试。

2. 检查用户的 authorized_keys 文件

即使服务器全局允许转发,你的个人公钥也可能带有 no-port-forwarding 限制。

  1. 在服务器上编辑授权密钥文件:

    1vi ~/.ssh/authorized_keys

  2. 找到你正在使用的公钥所在行,如果行首有 no-port-forwarding, 字样,删除这一部分(保留后续的 ssh-rsa AAAA... 等)。

    修改前示例:

    no-port-forwarding,no-agent-forwarding ssh-rsa AAAAB3NzaC1yc2E...

    修改后:

    ssh-rsa AAAAB3NzaC1yc2E...

  3. 保存文件。无需重启服务,新连接会自动生效。

3. 避免使用特权端口

如果你执行的是 -L 80:localhost:80-D 53 等命令,且你不是 root 用户,会因为权限不足被系统拒绝。

解决方法

  • 改用非特权端口(大于 1024),例如: 
    1ssh -L 8080:localhost:80 user@remote-server
  • 或者使用 sudo 提升权限(不推荐长期使用): 
    1sudo ssh -L 80:localhost:80 user@remote-server

4. 临时清理转发请求(排查用)

如果你怀疑是本地或其他转发配置冲突,可以尝试以下命令进行排查:

1ssh -v -o ClearAllForwardings=yes -L 8888:localhost:8888 user@remote-server

如果没有出现 administratively prohibited,说明服务器本身允许转发,问题可能出在其他参数上。

5. 检查防火墙和网络设备

极少数情况下,中间防火墙或安全组也会拦截 SSH 隧道的二次连接。请确保:

  • 远程服务器的安全组(如 AWS 安全组、阿里云安全组)允许出站连接到你的目标端口。
  • 本地防火墙没有阻止高随机端口。

验证隧道是否恢复正常

完成上述任一修改后,重新建立隧道并观察输出。

成功建立隧道的标志(-v 模式下可以看到类似信息):

debug1: Local forwarding listening on 127.0.0.1 port 8080.
debug1: channel 0: new [port listener]

如果仍然看到 administratively prohibited,请再次确认 sshd_config 修改后是否重启了 sshd 服务,以及是否新建了 SSH 会话(而不是复用已有的 ControlMaster 连接)。

总结

你的操作 最可能的错误原因 解决方案
使用 -L-R-D 但无特殊参数 服务器全局禁止转发 (AllowTcpForwarding no) 修改 /etc/ssh/sshd_config
使用 -R 0.0.0.0:port:... GatewayPorts no 设置 GatewayPorts yes 并重启 sshd
普通用户使用 -L 80:... 本地特权端口权限不足 改用 >1024 的端口或使用 sudo
你是服务器普通用户,无法修改 /etc/ssh/ 个人公钥带有 no-port-forwarding 编辑 ~/.ssh/authorized_keys 删除限制

提示:多数情况下,错误是由 AllowTcpForwarding no 引起的。如果你无法修改服务器配置,可以考虑使用 ssh -L 的反向替代方案(如 rinetdfrp)或联系服务器管理员。

相关文章