ssh隧道SOCKS代理连接拒绝Firefox 47.0 / Kubuntu 16.04

Question

我很难通过隧道SOCKS代理连接到使用Firefox的网站。SOCKS4 4/SOCKS4 5没有区别。

我建立了隧道

ssh -D 1234 id@remotehost.example.com

然后将Firefox的SOCKS代理指向tcp/1234上的本地主机。

这里需要注意的一点是，我正在设置的隧道位于我多年来一直用于此目的的远程服务器上。在所有主要的OSes平台上，我已经在十几个或更多的不同平台上通过FF和其他浏览器代理了数千次会话。一旦我开始工作，它就会一直顺利地工作。然而，在FF这个特殊的例子中，我会遇到一些奇怪的和间歇性的问题。

问题是FF似乎“不想”建立联系。我输入一个URL或单击一个链接，我立即得到“无法连接”/ "Firefox无法在.建立到服务器的连接“。当我说“立即”的时候，我的意思是，这会在一秒内回到我的脑海中。

所以我按了“再试一次”或者再装小箭头。我一次又一次地做，一遍又一遍，尽我所能。经过几次尝试--有时是3-4次，有时多达15-20次--我得到了连接，一切都正常！所以隧道/ SOCKS连接是可用的，只是FF拒绝使用它，直到它被欺负才这么做。一旦我得到一个连接，进一步的重新加载不会导致它丢失。

我有一些附加功能，但a)我在没有任何帮助的情况下有选择地禁用了它们，以及(当然)我尝试了安全模式。没有变化。

有什么建议吗？

Answer 1

不幸的是，这个问题是断断续续的，这使我的疑难解答工作陷入混乱。上面给出的答案--我标记为答案--实际上对我来说并不是解决问题的方法。它似乎起作用了，而且确实起了一段时间的作用。然后我又遇到了麻烦。有时停止我的ssh会话并重新启动它会治愈问题--一段时间--有时候重新启动也没有什么区别。

提到的这条线在别处建议--即在浏览器的代理设置中指定127.0.0.1而不是"localhost“--似乎也起了作用，但最终是无效的。我以前回答说，这是浏览器连接工作和不工作之间的关键区别，但这也是不成熟的。在我的浏览器通过隧道与网站建立连接的能力方面，我继续遇到间歇性问题。

现在，我已经在这个问题上获得了足够的额外经验，并且我在下面提到的解决方案中，我对我的结论相当有信心，我的结论是OpenSSH本身存在某种类型的短超时错误。顺便说一下，我的版本是

OpenSSH_7.2p2 Ubuntu-4 ubuntu1，OpenSSL 1.0.2g-fips 2016年3月1日

我的基础是：( a)问题显然与浏览器无关(在火狐、Chromium和w3m中得到验证)和( b)使用另一个ssh客户端已经可靠地解决了问题。

我下载了源代码，构建并安装了PuTTY (从此链接)。注意:请确保安装了虚拟包gtkgl，以便PuTTY源代码能够找到头文件。然后我设置了它，就像我在Windows中设置了很多次一样，它已经工作了大约两天了。零失败。

我确信这是修复方法，并且在当前的OpenSSH中存在一个bug。我将为此编写一份报告。

我选择自己的答案作为这个问题的答案，尽管@Terrence上面的答案仍然是非常有用的阅读。

Answer 2

为了连接到防火墙另一端的服务器，我必须每天在工作中使用代理。我还使用Firefox，Chrome和Ubuntu16.04。

编辑:我忘了其中的一部分。我必须在ssh配置文件中添加一个超时，否则我的隧道就会超时，我就失去了连接。一旦我添加了以下内容，我的连接将保持打开：

在~/.ssh/config中添加以下信息(如果文件不存在，则创建它。)这将发送一个服务器保持活跃到您的隧道每15秒。

Host *
ServerAliveInterval 15

我使用以下命令打开隧道连接：

ssh -CfND 1234 username@proxyhost

然后在Firefox中，在手动代理配置中的连接设置下，我只填写SOCKS主机:使用127.0.0.1和端口: 1234。然后，我确保袜子v5被选中。还要注意，我在No Proxy : box中没有任何内容。

我能够以这种方式连接到我的主机上，没有任何问题。

然后，对于Chrome，我运行一个命令行，这样我就不必每次想要通过代理时都将设置设置为Chrome，然后没有代理。要将Chrome连接到代理，我运行以下行：

nohup google-chrome-stable --proxy-server="socks5://127.0.0.1:1234" & > /dev/null 2>&1

from ssh manpage

 -C      Requests compression of all data (including stdin, stdout,
         stderr, and data for forwarded X11, TCP and UNIX-domain connec‐
         tions).  The compression algorithm is the same used by gzip(1),
         and the “level” can be controlled by the CompressionLevel option
         for protocol version 1.  Compression is desirable on modem lines
         and other slow connections, but will only slow down things on
         fast networks.  The default value can be set on a host-by-host
         basis in the configuration files; see the Compression option.

 -f      Requests ssh to go to background just before command execution.
         This is useful if ssh is going to ask for passwords or
         passphrases, but the user wants it in the background.  This
         implies -n.  The recommended way to start X11 programs at a
         remote site is with something like ssh -f host xterm.

 -N      Do not execute a remote command.  This is useful for just for‐
         warding ports.

 -D [bind_address:]port
         Specifies a local “dynamic” application-level port forwarding.
         This works by allocating a socket to listen to port on the local
         side, optionally bound to the specified bind_address.  Whenever a
         connection is made to this port, the connection is forwarded over
         the secure channel, and the application protocol is then used to
         determine where to connect to from the remote machine.  Currently
         the SOCKS4 and SOCKS5 protocols are supported, and ssh will act
         as a SOCKS server.  Only root can forward privileged ports.
         Dynamic port forwardings can also be specified in the configura‐
         tion file.

希望这能有所帮助！