我想为开发人员池提供一组开发机器,每个开发人员只能访问自己的开发机器。开发机器位于 NAT 后面的私有网络上,而开发人员位于 DMZ 上。
我想要实现一个解决方案,其中:
- 用户通过 ssh(包括 X 转发)连接到 NAT 公共接口,然后后者将请求转发到访问控制机器(基本上是一个代理);
- 根据可配置策略,AC 机器将连接转发到正确的开发机器。
显然,用户不应该知道目标机器名称或 IP,也不应该猜测网络结构。他们应该只发起 SSH 连接,而不需要任何客户端特殊配置(这可以防止使用 ProxyCommand)。
我该如何实现这样的解决方案?
答案1
我之前回答过这个问题。请参见此处:
http://serverfault.com/questions/516799/proxy-ssh-to-hide-endpoints/516800