No caso de "relogin", o segundo cliente está sendo executado no host bastion.
- O seu par de chaves deve estar no bastião ou você precisa usar o "encaminhamento de agente" do SSH para conceder acesso restrito ao par de chaves.
- Quaisquer encaminhamentos TCP (
ssh -L) devem ser configurados duas vezes - uma vez ao se conectar ao host bastião, uma vez ao se conectar ao servidor real. - Além disso, o host de bastiões pode ver tecnicamente tudo o que você digita e tudo que você recebe por meio desse túnel SSH.
- Uma vantagem, no entanto, é que você poderia usar o Mosh para se conectar ao host bastion (e ao SSH regular a partir daí).
Quando ssh -J ou um comando de proxy é usado, o segundo cliente está sendo executado localmente .
- Isso significa que a autenticação somente precisa acontecer localmente.
- Os encaminhamentos TCP só precisam ser processados uma vez.
- O servidor de bastiões só vê o tráfego SSH criptografado, não a entrada / saída real.
- No entanto, esse modo adiciona alguma sobrecarga extra, pois você tem SSH em SSH; em termos de tráfego de rede e uso da CPU.