Existe uma maneira de descobrir de onde vem a origem do tráfego SSH?
Temos dois servidores A e B. A está em uma rede privada. B tem 2 nics, privado e público.
A pode SSH em B e B pode SSH em A O problema é que os clientes estão se conectando do mundo externo X em B e depois conectando-se a A. Existe alguma maneira de ter um tráfego de bloco SSH se não é originado de um host conhecido?
Eu quero: local - > Um
A - > B
A - > B - > local
local - > B
local - > B - > Um
local - > A - > B
B - > local
B - > A - > local
public - > B
mas não público - > B - > Um
Por que não usar apenas iptables ou até mesmo /etc/hosts.{allow,deny} para permitir que o endereço desejado no Servidor A e, em seguida, no Servidor B permita somente o Servidor A? Por que não apenas whitelist o IP que você permite e negar todo o resto? Outra coisa que acho útil é colocar o SSH em uma porta não padrão.
Em outra nota, você pode ver / var / log / secure para ver o IP de origem.
Se um usuário puder acessar o servidor SSH do "externo" e depois passar para o SSH, os logs do Servidor A exibirão o IP de origem como Servidor B NÃO o IP remoto do usuário. Portanto, você não seria capaz de dizer se a sessão SSH era de um usuário interno ou externo.
Você precisa bloquear o acesso externo ao Servidor B para que somente endereços IP específicos possam se conectar (por exemplo, com iptables iptables -I INPUT -p tcp -s YourIP --dport 22 -j ACCEPT ) e melhorar a segurança nos servidores com senhas strongs ou Chaves SSH.