通过远程端口转发通过 Jumphost 进行 SSH 会话

我们在通过远程端口转发进行 SSH 连接时遇到问题。

该场景是一个企业网络，内部网络上的服务器（我们称之为“源”）必须通过 SSH 登录到 DMZ 中的服务器（“目标”）。由于 DMZ 中的目标服务器对于来自内部网络的连接被锁定（甚至无法从内部网络看到），因此我们在 DMZ 中有一个跳转主机（“jumphost”）。我们通过在跳转主机上设置远程端口转发来实现此目的。

我们从内部网络上的源服务器运行此命令到跳转主机：

origin> ssh -R *:1234:target:22 myusername@jumphost

这是为了在跳转主机上建立 SSH 会话，使其开始侦听端口 1234（只是一个任意端口号示例），并将该端口上的连接转发到目标服务器端口 22 (SSH)。

然后我们在端口 1234 上建立第二个 SSH 会话，仍然是从源服务器到跳转主机，然后该会话实际上在端口 22 上连接到目标服务器 - 这是我们的“真正”SSH 会话，我们可以在其中完成我们的工作目标服务器：

origin> ssh jumphost -P 1234

配置

跳转主机已配置为允许远程端口转发，在 sshd_config 中进行以下设置：

AllowTcpForwarding yes
GatewayPorts yes

此外，在源服务器和跳转主机之间设置了防火墙开口，用于端口 22（用于初始 SSH 连接以设置远程端口转发）和端口 1234（用于转发端口上的后续 SSH 连接）。跳转主机和目标之间也有防火墙，已在端口 22 上打开。

结果

当我们建立第二个连接（通过转发端口的连接）时，该连接立即关闭（“连接被远程主机关闭”）。

在目标服务器上运行 tcpdump 显示没有任何活动，即连接似乎被阻止。

但是，我们能够成功建立从跳转主机到目标的常规 SSH 会话。仅当通过转发端口进入时，连接才会关闭，尽管两者都连接到端口 22 上的目标。

更重要的是，如果我们将端口转发指向内部网络上的服务器（即从内部网络上的原点到 DMZ 中的跳转主机，然后返回到内部网络上的第三台服务器的连接），那么 SSH会话建立成功。

猜测和疑问

所有这些让我相信某些网络安全设置正在发挥作用，它阻止通过跳转服务器上的转发端口连接到 DMZ 内的目标服务器。不幸的是我知识不够，无法知道：

(1) 从网络安全策略的角度来看，来自源服务器、通过跳转服务器上的转发端口的 SSH 连接是否“不同”，是否可以在技术上被阻止？如果可以，如何阻止？需要做什么才能解除该限制？

(2) 不允许此连接通过的任何其他原因 - 防火墙配置、路由器配置、源站或跳转主机上的 SSH 设置，还有其他原因吗？

(3) 是否会因为源服务器不知道目标服务器而失败，从而导致第一个 ssh 命令无法按预期工作？换句话说，第一个 ssh 命令（“目标”）中指定的主机名是在客户端（源）还是在我们连接到创建隧道（跳转主机）的服务器上解释的？

最令我困惑的是，可以从跳转主机到目标建立常规 SSH 会话，我认为通过转发端口进入的 SSH 连接将是相同的，但不知怎的，事实并非如此。

非常感谢任何意见。