Configure uma conta ssh que possa ser usada apenas para um proxy socks5

2

Eu tenho uma máquina ArchLinux atrás de um firewall. Eu posso abrir um encaminhamento de porta para a porta ssh. Eu gostaria de criar um usuário que possa ser usado apenas para um proxy de meias.

ssh -N -D 5000 user@server -p9000

5000 será a porta local que o usuário usa para o proxy socks5

server:9000 é a porta ssh do servidor (o encaminhamento de porta)

-N significa que um terminal não deve ser aberto. Eu criarei o usuário com um shell padrão sendo /sbin/nologin .

Agora, o problema é que o usuário pode encaminhar portas locais ( -L8080:server2:80 ) e eu quero evitar isso.

Além disso, quero que o proxy não direcione conexões para qualquer coisa na rede interna do servidor.

Isso é facilmente alcançado ou não?

Existem outras armadilhas nas quais tenho que pensar?

    
por mist 16.01.2016 / 11:50

2 respostas

2

Como Jakuje mencionado, você pode usar opções para proibir o encaminhamento.

Restringindo o tráfego de saída pelo proprietário

Also I want the proxy to not proxy connections to anything in the server's internal network.

Você pode usar o módulo iptables owner para permitir a saída de grupos e usuários específicos nas regras OUTPUT para locais específicos, como o servidor de gateway ssh, mas bloquear todo o resto. O módulo do proprietário pode corresponder em gid ou uid. Este método também é comumente usado em conjunto com o Tor.

Você também pode usar isso para permitir que daemons específicos atinjam serviços específicos. por exemplo. Se usar o ldap, você pode permitir que a conta de serviço do ldap consulte seu servidor ldap e nada mais.

Se estiver usando o iptables nessa mansão, você pode primeiro permitir (mas registrar) o tráfego para que você saiba o que teria sido descartado.

    
por 16.01.2016 / 16:41
2

Você pode proibir o encaminhamento local em sshd_config , por exemplo:

Match User your_user
  AllowTcpForwarding no
  PermitOpen none

Não deve afetar o encaminhamento dinâmico / proxy SOCKS.

Also I want the proxy to not proxy connections to anything in the server's internal network.

Isso precisa ser configurado em outro lugar, em ssh .

    
por 16.01.2016 / 12:06

Tags