我们有多台机器位于防火墙后面的不同区域,它们没有静态 IP,无法从外部访问。
我们想访问这些机器,但不知道最好的选择是什么。我们考虑配置由这些机器发起的到中央堡垒的反向 ssh。
但是如果有人通过 ssh 隧道访问了其中一台机器,会发生什么情况?他可以通过堡垒访问其他机器吗?有没有最佳实践来解决这个问题?
谢谢。
答案1
如果您使用ssh -R port1:host:port2 central设置隧道,则隧道仅允许从中央节点发起的连接。假设用户无权访问设置隧道的 ssh 会话,并且您未在中央节点的 sshd_config 中启用 GatewayPorts,或者中央节点上的防火墙不允许传入连接,那么您就没问题。
您是否考虑过让所有这些机器通过 VPN 连接到集中位置?对我来说,这似乎更简单、更稳定,而且您可以配置防火墙以允许/禁止流量。