Permitir várias conexões remotas para uma porta encaminhada dinâmica ssh

3

Vamos supor que eu tenha três máquinas

A - Servidor para o qual estou sshing no
B - Cliente do qual estou sshing
C - Outro cliente na sub-rede de B

Agora, eu configurei o encaminhamento de porta dinâmico para a porta 1235 executando este no cliente B

ssh -D 1235 a@A

em que a é o nome de usuário no servidor A.

Agora, posso conectar-me a essa porta 1235 somente a partir de B, pois ela está vinculada ao host local. Se eu modificar o comando como

ssh -D C:1235 a@A

então, somente C pode se conectar à porta 1235 de B e não ao próprio B. Existe uma terceira opção que eu poderia usar, a saber

ssh -D 0.0.0.0:1235 a@A

pelo qual ambos B e C podem se conectar à porta 1235 de B, mas também todas as outras máquinas na mesma sub-rede como B e C. O que eu realmente quero é uma maneira de ligar a porta dinâmica para permitir somente B e C para se conectar a ele e não a qualquer outra máquina. Como posso conseguir isso?

    
por Hashken 12.07.2014 / 16:46

2 respostas

2

Use a opção -g com SSH e, em seguida, configure as regras de firewall para permitir que apenas C se conecte à porta.

-g      Allows remote hosts to connect to local forwarded ports.

O comando seria então:

ssh -g -D 1235 a@A
    
por 12.07.2014 / 16:57
0

O próprio SSH não verifica endereços IP de origem sob nenhuma circunstância, de acordo com o meu conhecimento (eles podem ser falsificados de qualquer maneira). Então você provavelmente teria que usar um filtro de pacotes em B (por exemplo, iptables) e configurá-lo para que os pacotes TCP de entrada com a porta de destino 1235 tivessem B como seu endereço de origem.

    
por 12.07.2014 / 17:12