Pode sshd restringir os pontos de extremidade do túnel do cliente ao localhost?

7

Normalmente, um cliente ssh pode solicitar o encaminhamento de TCP usando a opção de linha de comando -L . O servidor pode desativar isso completamente usando AllowTcpForwarding no . Se ativado, o cliente pode solicitar a conexão do nó de extremidade a uma máquina remota que não seja o servidor sshd usando host em -L port:host:hostport . Existe uma maneira de configurar o sshd para limitar o endereço de encaminhamento de destino para localhost (ou seja, a própria máquina do servidor sshd)?

    
por Greg Hewgill 03.11.2011 / 22:07

1 resposta

8

Um padrão seguro para uma instalação do OpenSSH terá GatewayPorts definido como no . Esta é precisamente essa restrição.

editar

Veja a diretiva PermitOpen :

Specifies the destinations to which TCP port forwarding is permitted. The forwarding specification must be one of the following forms:

              PermitOpen host:port
              PermitOpen IPv4_addr:port
              PermitOpen [IPv6_addr]:port

Multiple forwards may be specified by separating them with whitespace. An argument of “any” can be used to remove all restrictions and permit any forwarding requests. By default all port forwarding requests are permitted.

    
por 03.11.2011 / 23:54