從Wi-Fi熱點、工作場所或離家以外的任何地方連線到internet會使您的資料面臨不必要的風險。你可以很容易地配置你的路由器，以支援一個安全的隧道和遮蔽你的遠端瀏覽器流量閱讀下去，看看如何。

什麼是為什麼要建立一個安全的隧道(and why set up a secure tunnel)？

你可能會好奇，為什麼你甚至想建立一個從你的裝置到你的家庭路由器的安全隧道，你會從這樣一個專案中獲得什麼好處。讓我們列出幾個不同的場景，讓您使用internet來說明安全隧道的好處。

場景一：你在咖啡店，用膝上型電腦透過他們的免費Wi-Fi連線瀏覽網際網路。資料離開Wi-Fi調變解調器，透過空氣未加密到咖啡店的Wi-Fi節點，然後傳輸到更大的internet。在從計算機傳輸到更大的internet期間，您的資料是開放的。任何在該區域有Wi-Fi裝置的人都可以嗅到您的資料。這是非常痛苦的容易，一個有動力的12歲的孩子，帶著膝上型電腦和一份Fire綿羊副本，可以搶走你的各種各樣的**。就像你在一個房間裡，裡面只有英語的人，用一個講普通話的電話。當有人說中文時（Wi-Fi嗅探器）你的偽隱私就被打破了。

場景二：你在咖啡店用膝上型電腦再次透過他們的免費Wi-Fi連線瀏覽網際網路。這一次，您已經使用SSH在膝上型電腦和家庭路由器之間建立了一個加密隧道。您的流量透過此隧道直接從膝上型電腦路由到作為代理伺服器的家庭路由器。這條管道對於Wi-Fi嗅探器來說是不可穿透的，他們只會看到一個亂七八糟的加密資料流。不管這個機構有多變化無常，Wi-Fi連線有多不安全，你的資料都會留在加密的隧道中，只有在到達你的家庭網際網路連線並退出到更大的網際網路後才會離開。

在第一種情況下，你是在完全開放的地方衝浪；在第二種情況下，你可以登入到你的銀行或其他私人網站，就像在家裡的電腦上一樣自信。

儘管我們在示例中使用了Wi-Fi，但是您可以使用SSH隧道來保護硬線連線，例如，在遠端網路上啟動瀏覽器，並在防火牆上打一個洞，以便像在家庭連線上一樣自由地進行衝浪。

聽起來不錯，不是嗎？它非常容易設定，所以沒有時間像現在這樣，您可以在一小時內啟動並執行SSH隧道。

你需要什麼

有許多方法可以設定SSH隧道來保護您的web瀏覽。在本教程中，我們將重點介紹如何以最簡單的方式為使用家庭路由器和基於Windows的機器的使用者設定SSH隧道，從而減少麻煩。要繼續學習我們的教程，您需要以下內容：

• 執行番茄或DD-WRT修改韌體的路由器。
• 像PuTTY這樣的SSH客戶端。
• 像Firefox這樣的相容SOCKS的網路瀏覽器。

對於我們的指南，我們將使用西紅柿，但說明是幾乎相同的那些你會遵循的DD-WRT，所以如果你執行DD-WRT請隨意跟著。如果您的路由器上沒有修改韌體，請在繼續之前檢視我們的安裝DD-WRT和Tomato指南。

為加密隧道生成金鑰

儘管在配置SSH伺服器之前直接生成金鑰似乎有點奇怪，但是如果我們準備好了金鑰，就可以在一次過程中配置伺服器。

下載完整的PuTTY包並將其解壓縮到您選擇的資料夾中。在資料夾中您會發現PUTTYGEN.EXE. 啟動應用程式，然後單擊“鍵”-&gt；生成金鑰對。您將看到一個與上面所示的螢幕非常相似；移動滑鼠以生成金鑰建立過程的隨機資料。完成過程後，您的PuTTY Key Generator視窗應類似；繼續並輸入強密碼：

**密碼後，繼續並單擊“儲存私鑰”。將生成的.PPK檔案存放在安全的地方。暫時將“用於貼上的公鑰…”框的內容複製並貼上到一個臨時TXT文件中。

如果計劃在SSH伺服器上使用多個裝置（例如膝上型電腦、上網本和智慧**），則需要為每個裝置生成金鑰對。現在，繼續生成、輸入密碼並儲存所需的其他金鑰對。確保將每個新公鑰複製並貼上到臨時文件中。

為ssh配置路由器

Tomato和DD-WRT都有內建的SSH伺服器。這有兩個原因。首先，將telnet連線到路由器以手動安裝SSH伺服器並對其進行配置是一件非常痛苦的事情。第二，因為您在路由器上執行SSH伺服器（可能比燈泡消耗的電能要少），所以您永遠不必為了一個輕量級SSH伺服器而讓主計算機開著。

在連線到本地網路的計算機上開啟web瀏覽器。導航到您的路由器的web介面，對於我們的路由器—執行地址為的Linksys WRT54Ghttp://192.168.1.1。登入到web介面並導航到Administration–&gt；SSH守護程式。在這裡，您需要檢查啟動時啟用和遠端訪問。您可以根據需要更改遠端埠，但這樣做的唯一好處是，如果有人掃描您的埠，它會略微混淆埠開啟的原因。取消選中“允許密碼登入”。我們不會使用密碼登入從遠處訪問路由器，我們將使用金鑰對。

將教程最後一部分中生成的公鑰貼上到“授權關鍵點”框中。每個鍵都應該是自己的條目，用換行符分隔。金鑰ssh rsa的第一部分非常重要。如果不將其包含在每個公鑰中，則SSH伺服器將顯示為無效。

單擊“立即開始”，然後向下滾動到介面底部，然後單擊“儲存”。此時，SSH伺服器已啟動並執行。

配置遠端計算機以訪問ssh伺服器

這就是魔法發生的地方。你有一個金鑰對，你有一個伺服器在執行，但這些都沒有任何價值，除非你能夠遠端連線從外地和隧道到你的路由器。是時候開啟我們執行Windows7的可靠網路手冊並開始工作了。

首先，將建立的PuTTY資料夾複製到其他計算機（或者簡單地下載並再次提取）。從這裡開始，所有的說明都集中在遠端計算機上。如果在家庭計算機上執行PuTTy金鑰生成器，請確保您已切換到移動計算機上，以進行本教程的其餘部分。在您結算之前，您還需要確保您有建立的.PPK檔案的副本。一旦你提取了油灰，手上拿著.PPK，我們就準備好繼續了。

發射油灰。您將看到的第一個螢幕是會話螢幕。您需要在這裡輸入家庭網際網路連線的IP地址。這不是本地區域網上路由器的IP，這是外界看到的調變解調器/路由器的IP。您可以透過檢視路由器web介面中的主狀態頁來找到它。將埠更改為2222（或者在SSH守護程式配置過程中替換的任何埠）。確保選中了SSH。繼續併為會話指定一個名稱，以便儲存它以備將來使用。我們給我們的番茄起名叫SSH。

透過左側窗格向下導航到Connection–&gt；Auth。在這裡，您需要單擊“瀏覽”按鈕並選擇儲存並帶到遠端計算機的.PPK檔案。

在SSH子選單中，繼續向下至SSH–>隧道。在這裡，我們將配置PuTTY作為移動計算機的代理伺服器。選中“埠轉發”下的兩個框。在下面的“新增新轉發埠”部分中，輸入80作為源埠，輸入路由器的IP地址作為目標埠。選中“自動”和“動態”，然後單擊“新增”。

再次檢查“轉發埠”框中是否出現條目。導航回會話部分，然後再次單擊儲存以儲存所有配置工作。現在單擊“開啟”。PuTTY將啟動一個終端視窗。此時您可能會收到一條警告，指出伺服器的主機項不在登錄檔中。去確認你信任主人。如果您擔心它，您可以將它在警告訊息中提供給您的指紋字串與您在PuTTY key Generator中載入生成的金鑰的指紋進行比較。開啟PuTTY並單擊警告後，您將看到如下螢幕：

在終點站你只需要做兩件事。在登入提示符處鍵入root。在passphrase提示符下輸入RSA keyring密碼這是幾分鐘前生成金鑰時建立的密碼，而不是路由器的密碼。路由器外殼將載入，您在命令提示符下完成。你已經在PuTTY和你的家庭路由器之間建立了一個安全的連線。現在我們需要指導您的應用程式如何訪問膩子。

注意：如果您想以稍微降低安全性為代價簡化這個過程，您可以生成一個不帶密碼的金鑰對，並將PuTTY設定為自動登入到根帳戶（您可以在Connect–>Data–>Auto login下切換此設定）。這將PuTTY連線過程簡化為簡單地開啟應用程式、載入配置檔案並單擊Open。

配置瀏覽器以連線到putty

在本教程的這一點上，您的伺服器已啟動並執行，您的計算機已連線到它，並且只剩下一個步驟。您需要告訴重要的應用程式使用PuTTY作為代理伺服器。任何支援SOCKS協議的應用程式都可以連結到PuTTY，比如Firefox、mIRC、Thunderbird和uTorrent，如果您不確定某個應用程式是否支援SOCKS，請在選項選單中搜索或查閱文件。這是一個不容忽視的關鍵因素：預設情況下，您的所有流量都不會透過PuTTY代理進行路由；它必須連線到SOCKS伺服器。例如，你可以有一個開啟SOCKS的web瀏覽器和一個沒有開啟SOCKS的web瀏覽器——兩者都在同一臺機器上，一個會加密你的流量，另一個不會。

出於我們的目的，我們想保護我們的web瀏覽器Firefox-Portable，它非常簡單。Firefox的配置過程實際上可以轉換為任何需要**SOCKS資訊的應用程式。啟動Firefox並導航至選項–&gt；高階–&gt；設定。在Connection Settings（連線設定）選單中，選擇Manual proxy configuration（手動代理配置），然後在SOCKS Host plug in 127.0.0.1（SOCKS主機外掛127.0.0.1）下—您正在連線到本地計算機上執行的PuTTY應用程式，因此您必須放入本地主機IP，而不是路由器的IP，因為到目前為止，您已經放入了每個插槽。將埠設定為80，然後單擊“確定”。

在一切準備就緒之前，我們還有一個小小的調整。預設情況下，Firefox不會透過代理伺服器路由DNS請求。這意味著您的流量將始終加密，但有人窺探連線將看到您的所有請求。他們會知道你在臉譜網或者Gmail.com但他們什麼也看不見。如果你想透過SOCKS路由你的DNS請求，你需要開啟它。

型別關於：配置開啟位址列，然後單擊“我會小心的，我保證！“如果你收到一個嚴厲的警告，說你會把瀏覽器搞砸。貼上network.proxy.socks\遠端\ dns進入Filter:框，然後右鍵單擊network.proxy.socks\遠端\ dns並將其切換為True。從這裡開始，您的瀏覽和DNS請求都將透過SOCKS隧道傳送。

儘管我們一直在為SSH配置瀏覽器，但您可能希望輕鬆地切換設定。Firefox有一個方便的擴充套件，FoxyProxy，它可以非常容易地開啟和關閉代理伺服器。它支援大量的配置選項，例如根據您所在的域、訪問的站點等在代理之間切換。如果您希望能夠根據您在家還是在外輕鬆自動關閉代理服務，例如，FoxyProxy已經為您提供了服務。Chrome使用者會想要檢視代理Switchy！類似的功能。

讓我們看看一切是否都按計劃進行，好嗎？為了測試這些東西，我們打開了兩個瀏覽器：Chrome（見左邊），沒有隧道，Firefox（見右）新配置為使用隧道。

在左邊我們看到我們連線到的Wi-Fi節點的IP地址，右邊是SSH隧道，我們看到了我們遠端路由器的IP地址。所有Firefox通訊都是透過SSH伺服器路由的。成功！

有沒有一個提示或技巧來保護遠端通訊？將SOCKS伺服器/SSH與特定應用程式配合使用並喜歡它？想知道如何加密你的流量嗎？讓我們在評論中聽聽。