从Wi-Fi热点、工作场所或离家以外的任何地方连接到internet会使您的数据面临不必要的风险。你可以很容易地配置你的路由器，以支持一个安全的隧道和屏蔽你的远程浏览器流量阅读下去，看看如何。

什么是为什么要建立一个安全的隧道(and why set up a secure tunnel)？

你可能会好奇，为什么你甚至想建立一个从你的设备到你的家庭路由器的安全隧道，你会从这样一个项目中获得什么好处。让我们列出几个不同的场景，让您使用internet来说明安全隧道的好处。

场景一：你在咖啡店，用笔记本电脑通过他们的免费Wi-Fi连接浏览互联网。数据离开Wi-Fi调制解调器，通过空气未加密到咖啡店的Wi-Fi节点，然后传输到更大的internet。在从计算机传输到更大的internet期间，您的数据是开放的。任何在该区域有Wi-Fi设备的人都可以嗅到您的数据。这是非常痛苦的容易，一个有动力的12岁的孩子，带着笔记本电脑和一份Fire绵羊副本，可以抢走你的各种各样的**。就像你在一个房间里，里面只有英语的人，用一个讲普通话的电话。当有人说中文时（Wi-Fi嗅探器）你的伪隐私就被打破了。

场景二：你在咖啡店用笔记本电脑再次通过他们的免费Wi-Fi连接浏览互联网。这一次，您已经使用SSH在笔记本电脑和家庭路由器之间建立了一个加密隧道。您的流量通过此隧道直接从笔记本电脑路由到作为代理服务器的家庭路由器。这条管道对于Wi-Fi嗅探器来说是不可穿透的，他们只会看到一个乱七八糟的加密数据流。不管这个机构有多变化无常，Wi-Fi连接有多不安全，你的数据都会留在加密的隧道中，只有在到达你的家庭互联网连接并退出到更大的互联网后才会离开。

在第一种情况下，你是在完全开放的地方冲浪；在第二种情况下，你可以登录到你的银行或其他私人网站，就像在家里的电脑上一样自信。

尽管我们在示例中使用了Wi-Fi，但是您可以使用SSH隧道来保护硬线连接，例如，在远程网络上启动浏览器，并在防火墙上打一个洞，以便像在家庭连接上一样自由地进行冲浪。

听起来不错，不是吗？它非常容易设置，所以没有时间像现在这样，您可以在一小时内启动并运行SSH隧道。

你需要什么

有许多方法可以设置SSH隧道来保护您的web浏览。在本教程中，我们将重点介绍如何以最简单的方式为使用家庭路由器和基于Windows的机器的用户设置SSH隧道，从而减少麻烦。要继续学习我们的教程，您需要以下内容：

• 运行番茄或DD-WRT修改固件的路由器。
• 像PuTTY这样的SSH客户端。
• 像Firefox这样的兼容SOCKS的网络浏览器。

对于我们的指南，我们将使用西红柿，但说明是几乎相同的那些你会遵循的DD-WRT，所以如果你运行DD-WRT请随意跟着。如果您的路由器上没有修改固件，请在继续之前查看我们的安装DD-WRT和Tomato指南。

为加密隧道生成密钥

尽管在配置SSH服务器之前直接生成密钥似乎有点奇怪，但是如果我们准备好了密钥，就可以在一次过程中配置服务器。

下载完整的PuTTY包并将其解压缩到您选择的文件夹中。在文件夹中您会发现PUTTYGEN.EXE. 启动应用程序，然后单击“键”-&gt；生成密钥对。您将看到一个与上面所示的屏幕非常相似；移动鼠标以生成密钥创建过程的随机数据。完成过程后，您的PuTTY Key Generator窗口应类似；继续并输入强密码：

**密码后，继续并单击“保存私钥”。将生成的.PPK文件存放在安全的地方。暂时将“用于粘贴的公钥…”框的内容复制并粘贴到一个临时TXT文档中。

如果计划在SSH服务器上使用多个设备（例如笔记本电脑、上网本和智能**），则需要为每个设备生成密钥对。现在，继续生成、输入密码并保存所需的其他密钥对。确保将每个新公钥复制并粘贴到临时文档中。

为ssh配置路由器

Tomato和DD-WRT都有内置的SSH服务器。这有两个原因。首先，将telnet连接到路由器以手动安装SSH服务器并对其进行配置是一件非常痛苦的事情。第二，因为您在路由器上运行SSH服务器（可能比灯泡消耗的电能要少），所以您永远不必为了一个轻量级SSH服务器而让主计算机开着。

在连接到本地网络的计算机上打开web浏览器。导航到您的路由器的web界面，对于我们的路由器—运行地址为的Linksys WRT54Ghttp://192.168.1.1。登录到web界面并导航到Administration–&gt；SSH守护程序。在这里，您需要检查启动时启用和远程访问。您可以根据需要更改远程端口，但这样做的唯一好处是，如果有人扫描您的端口，它会略微混淆端口打开的原因。取消选中“允许密码登录”。我们不会使用密码登录从远处访问路由器，我们将使用密钥对。

将教程最后一部分中生成的公钥粘贴到“授权关键点”框中。每个键都应该是自己的条目，用换行符分隔。密钥ssh rsa的第一部分非常重要。如果不将其包含在每个公钥中，则SSH服务器将显示为无效。

单击“立即开始”，然后向下滚动到界面底部，然后单击“保存”。此时，SSH服务器已启动并运行。

配置远程计算机以访问ssh服务器

这就是魔法发生的地方。你有一个密钥对，你有一个服务器在运行，但这些都没有任何价值，除非你能够远程连接从外地和隧道到你的路由器。是时候打开我们运行Windows7的可靠网络手册并开始工作了。

首先，将创建的PuTTY文件夹复制到其他计算机（或者简单地下载并再次提取）。从这里开始，所有的说明都集中在远程计算机上。如果在家庭计算机上运行PuTTy密钥生成器，请确保您已切换到移动计算机上，以进行本教程的其余部分。在您结算之前，您还需要确保您有创建的.PPK文件的副本。一旦你提取了油灰，手上拿着.PPK，我们就准备好继续了。

发射油灰。您将看到的第一个屏幕是会话屏幕。您需要在这里输入家庭互联网连接的IP地址。这不是本地局域网上路由器的IP，这是外界看到的调制解调器/路由器的IP。您可以通过查看路由器web界面中的主状态页来找到它。将端口更改为2222（或者在SSH守护程序配置过程中替换的任何端口）。确保选中了SSH。继续并为会话指定一个名称，以便保存它以备将来使用。我们给我们的番茄起名叫SSH。

通过左侧窗格向下导航到Connection–&gt；Auth。在这里，您需要单击“浏览”按钮并选择保存并带到远程计算机的.PPK文件。

在SSH子菜单中，继续向下至SSH–>隧道。在这里，我们将配置PuTTY作为移动计算机的代理服务器。选中“端口转发”下的两个框。在下面的“添加新转发端口”部分中，输入80作为源端口，输入路由器的IP地址作为目标端口。选中“自动”和“动态”，然后单击“添加”。

再次检查“转发端口”框中是否出现条目。导航回会话部分，然后再次单击保存以保存所有配置工作。现在单击“打开”。PuTTY将启动一个终端窗口。此时您可能会收到一条警告，指出服务器的主机项不在注册表中。去确认你信任主人。如果您担心它，您可以将它在警告消息中提供给您的指纹字符串与您在PuTTY key Generator中加载生成的密钥的指纹进行比较。打开PuTTY并单击警告后，您将看到如下屏幕：

在终点站你只需要做两件事。在登录提示符处键入root。在passphrase提示符下输入RSA keyring密码这是几分钟前生成密钥时创建的密码，而不是路由器的密码。路由器外壳将加载，您在命令提示符下完成。你已经在PuTTY和你的家庭路由器之间建立了一个安全的连接。现在我们需要指导您的应用程序如何访问腻子。

注意：如果您想以稍微降低安全性为代价简化这个过程，您可以生成一个不带密码的密钥对，并将PuTTY设置为自动登录到根帐户（您可以在Connect–>Data–>Auto login下切换此设置）。这将PuTTY连接过程简化为简单地打开应用程序、加载配置文件并单击Open。

配置浏览器以连接到putty

在本教程的这一点上，您的服务器已启动并运行，您的计算机已连接到它，并且只剩下一个步骤。您需要告诉重要的应用程序使用PuTTY作为代理服务器。任何支持SOCKS协议的应用程序都可以链接到PuTTY，比如Firefox、mIRC、Thunderbird和uTorrent，如果您不确定某个应用程序是否支持SOCKS，请在选项菜单中搜索或查阅文档。这是一个不容忽视的关键因素：默认情况下，您的所有流量都不会通过PuTTY代理进行路由；它必须连接到SOCKS服务器。例如，你可以有一个打开SOCKS的web浏览器和一个没有打开SOCKS的web浏览器——两者都在同一台机器上，一个会加密你的流量，另一个不会。

出于我们的目的，我们想保护我们的web浏览器Firefox-Portable，它非常简单。Firefox的配置过程实际上可以转换为任何需要**SOCKS信息的应用程序。启动Firefox并导航至选项–&gt；高级–&gt；设置。在Connection Settings（连接设置）菜单中，选择Manual proxy configuration（手动代理配置），然后在SOCKS Host plug in 127.0.0.1（SOCKS主机插件127.0.0.1）下—您正在连接到本地计算机上运行的PuTTY应用程序，因此您必须放入本地主机IP，而不是路由器的IP，因为到目前为止，您已经放入了每个插槽。将端口设置为80，然后单击“确定”。

在一切准备就绪之前，我们还有一个小小的调整。默认情况下，Firefox不会通过代理服务器路由DNS请求。这意味着您的流量将始终加密，但有人窥探连接将看到您的所有请求。他们会知道你在脸谱网或者Gmail.com但他们什么也看不见。如果你想通过SOCKS路由你的DNS请求，你需要打开它。

类型关于：配置打开地址栏，然后单击“我会小心的，我保证！“如果你收到一个严厉的警告，说你会把浏览器搞砸。粘贴network.proxy.socks\远程\ dns进入Filter:框，然后右键单击network.proxy.socks\远程\ dns并将其切换为True。从这里开始，您的浏览和DNS请求都将通过SOCKS隧道发送。

尽管我们一直在为SSH配置浏览器，但您可能希望轻松地切换设置。Firefox有一个方便的扩展，FoxyProxy，它可以非常容易地打开和关闭代理服务器。它支持大量的配置选项，例如根据您所在的域、访问的站点等在代理之间切换。如果您希望能够根据您在家还是在外轻松自动关闭代理服务，例如，FoxyProxy已经为您提供了服务。Chrome用户会想要查看代理Switchy！类似的功能。

让我们看看一切是否都按计划进行，好吗？为了测试这些东西，我们打开了两个浏览器：Chrome（见左边），没有隧道，Firefox（见右）新配置为使用隧道。

在左边我们看到我们连接到的Wi-Fi节点的IP地址，右边是SSH隧道，我们看到了我们远程路由器的IP地址。所有Firefox通信都是通过SSH服务器路由的。成功！

有没有一个提示或技巧来保护远程通信？将SOCKS服务器/SSH与特定应用程序配合使用并喜欢它？想知道如何加密你的流量吗？让我们在评论中听听。