反向 SSH 隧道中的未经授权的访问

我在内部工作网站和我的家庭工作站之间创建了一个反向 ssh 隧道。我的目标是从我的工作站在远程内部网站上工作。两端之间只有一台计算机，问题就出在这台计算机上。在那台计算机上，有一个启动隧道的 ssh 客户端。那台计算机上还运行着一个 ssh 服务器，但用于其他需求。我使用下面的语法来构建反向隧道：

ssh -R 9001:internal-website.com:443 [email protected]

一切正常。但当我检查两端电脑上的连接时，我发现有未经授权的访问，IP 地址来自中国（121.18.238.125）：

root@windy:~# lsof -i
COMMAND   PID USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
dhclient 3356 root    6u  IPv4   5492      0t0  UDP *:bootpc 
ntpd     3459  ntp   16u  IPv6   8537      0t0  UDP *:ntp 
ntpd     3459  ntp   17u  IPv4   8540      0t0  UDP *:ntp 
ntpd     3459  ntp   18u  IPv4   8544      0t0  UDP localhost:ntp 
ntpd     3459  ntp   19u  IPv4   8546      0t0  UDP 10.4.103.17:ntp 
ntpd     3459  ntp   20u  IPv6   8548      0t0  UDP localhost:ntp 
ntpd     3459  ntp   21u  IPv6   8550      0t0  UDP [fe80::dc19:68ff:fe13:d008]:ntp 
sshd     3463 root    3u  IPv4   8572      0t0  TCP 10.4.103.17:ssh->home-server:47730 (ESTABLISHED)
sshd     3663 root    3u  IPv4   8736      0t0  TCP *:ssh (LISTEN)
sshd     3663 root    4u  IPv6   8738      0t0  TCP *:ssh (LISTEN)
sshd     3878 root    3u  IPv4   8992      0t0  TCP 10.4.103.17:ssh->home-server:48680 (ESTABLISHED)
sshd     4092 root    3u  IPv4  10068      0t0  TCP 10.4.103.17:ssh->home-server:48092 (ESTABLISHED)
ssh      4445 root    3u  IPv4  14454      0t0  TCP 10.4.103.17:60988->home-server:ssh (ESTABLISHED)
sshd     4481 root    3u  IPv4  15428      0t0  TCP 10.4.103.17:ssh->121.18.238.125:53763 (ESTABLISHED)
sshd     4482 sshd    3u  IPv4  15428      0t0  TCP 10.4.103.17:ssh->121.18.238.125:53763 (ESTABLISHED)

在 /var/log/auth.log 文件中，我没有发现任何可疑的东西。只有正常的 ssh 尝试失败。我甚至在失败的尝试中发现了相同的地址。我做了两次这样的体验。第一次我停用了 root 密码登录并设置了公钥连接。第二次，我为 root 用户设置了一个强密码的密码登录。两次体验都给了我相同的结果（每次地址都不同，但仍然来自中国）。两端之间的这台计算机怎么可能被入侵？我遗漏了什么吗？我搞不清楚薄弱点在哪里。

为了让家庭工作站可以上网，我在本地路由器上启用了端口转发。我再次使用了强密码，没有发现任何可疑连接。

如果您没理解我的意思，请随时询问更多信息。