阻止 SSH 隧道到 IP,仅允许特定用户

阻止 SSH 隧道到 IP,仅允许特定用户

我需要设置 SSH 来阻止对端口 555 上某个 IP 的所有访问。只有一小部分用户才可以允许通过隧道连接到该 IP。目前,我的 sshd_config 中有以下内容

Match User bob
        PermitOpen 1.2.3.4:555 5.6.7.8:555

我的问题是,如何拒绝所有其他用户访问此隧道?我在 sshd_config 中没有看到denyopen或restrictopen。

答案1

您可以使用 SSH 框上的防火墙来实现此目的:

iptables -A OUTPUT -p tcp -d 1.2.3.4 --dport 555 -m owner --uid-owner bob -j ACCEPT
iptables -A OUTPUT -p tcp -d 1.2.3.4 --dport 555                          -j REJECT

答案2

默认为所有用户禁用 TcpForwarding:

AllowTcpForwarding No

并为用户做出例外bob

Match User bob
        AllowTcpForwarding Yes
        PermitOpen 1.2.3.4:555 5.6.7.8:555

相关内容