我的用户在外部网络中的 [externalserver] 上工作。我想让他们能够访问我的防火墙网络内的 https 服务。我在 DMZ 中有一个启用了无密码 ssh 访问的 jumphost。
目前我让他们创建一个 SSH SOCKS5 转发代理:
user@externalserver> ssh -Nf -D 9876 user@jumphost
并让它们将 socksified 应用程序指向 localhost:9876。
问题是,一旦建立了此隧道,[externalserver] 上的所有用户都可以通过它访问我的内部 https 服务。显然 ssh 不为 SOCKS 代理提供身份验证。
我如何才能实现此功能,同时防止 [externalserver] 上的未经授权的用户访问我的网络?最好采用无需密码的解决方案。我在 [externalserver] 上没有管理员权限。