Мне нужно ограничить функции туннеля SSH. Пользователям не должно быть разрешено создавать удаленные туннели, а только туннели к localhost. Я попытался настроить все это в конфигурации SSH, но я могу только полностью отключить TCPForwarding. Я думаю, это может быть возможно только с iptables тогда? Кто-нибудь имеет опыт и может мне помочь?
1 ответ
1
Для OpenSSH вы можете использовать PermitOpen host:port чтобы ограничить, куда пользователи могут туннелировать. Чтобы позволить им туннелировать к MySQL, который только локально прослушивает порт по умолчанию:
PermitOpen LocalHost:3306
Со страницы руководства для sshd_config:
PermitOpen
Определяет пункты назначения, к которым разрешена переадресация портов TCP. Спецификация пересылки должна иметь одну из следующих форм:
PermitOpen host:port PermitOpen IPv4_addr:port PermitOpen [IPv6_addr]:portМожно указать несколько форвардов, разделив их пробелами. Аргумент any может использоваться для снятия всех ограничений и разрешения любых запросов на пересылку. Аргумент none может быть использован для запрета всех запросов на пересылку. По умолчанию все запросы на переадресацию портов разрешены.