Use a opção -g com SSH e, em seguida, configure as regras de firewall para permitir que apenas C se conecte à porta.
-g Allows remote hosts to connect to local forwarded ports.
O comando seria então:
ssh -g -D 1235 a@A
Vamos supor que eu tenha três máquinas
A - Servidor para o qual estou sshing no
B - Cliente do qual estou sshing
C - Outro cliente na sub-rede de B
Agora, eu configurei o encaminhamento de porta dinâmico para a porta 1235 executando este no cliente B
ssh -D 1235 a@A
em que a é o nome de usuário no servidor A.
Agora, posso conectar-me a essa porta 1235 somente a partir de B, pois ela está vinculada ao host local. Se eu modificar o comando como
ssh -D C:1235 a@A
então, somente C pode se conectar à porta 1235 de B e não ao próprio B. Existe uma terceira opção que eu poderia usar, a saber
ssh -D 0.0.0.0:1235 a@A
pelo qual ambos B e C podem se conectar à porta 1235 de B, mas também todas as outras máquinas na mesma sub-rede como B e C. O que eu realmente quero é uma maneira de ligar a porta dinâmica para permitir somente B e C para se conectar a ele e não a qualquer outra máquina. Como posso conseguir isso?
Use a opção -g com SSH e, em seguida, configure as regras de firewall para permitir que apenas C se conecte à porta.
-g Allows remote hosts to connect to local forwarded ports.
O comando seria então:
ssh -g -D 1235 a@A
O próprio SSH não verifica endereços IP de origem sob nenhuma circunstância, de acordo com o meu conhecimento (eles podem ser falsificados de qualquer maneira). Então você provavelmente teria que usar um filtro de pacotes em B (por exemplo, iptables) e configurá-lo para que os pacotes TCP de entrada com a porta de destino 1235 tivessem B como seu endereço de origem.