通过多个主机的 SSH 隧道将流量转发到设备

通过多个主机的 SSH 隧道将流量转发到设备

我正在尝试最小化面向公众的攻击面。仅允许来自特定 IP 地址的流量。我想阻止从公共端对远程 WAN/Edge 路由器管理端口的所有输入访问。因此,我想创建一个到私有端服务器的隧道,并将流量从那里转发到 WAN/Edge 路由器。我家里有一个动态 IP,但有一个 DigitalOcean Droplet 可以用于隧道传输,而隧道传输将始终是静态的。我相信 VPN 可以实现相同的结果,但我真的不想设置和维护 VPN,如果我可以确定隧道序列,SSH 隧道将允许我随意创建和拆除,也可以使用 SSH 密钥认证。所以我的连接看起来像这样。

WAN/边缘路由器上的目标端口是用户可定义的。因此,为了混淆目标,我们假设它是端口 3333。因此,从我的工作站,我将我的管理实用程序指向本地主机上的端口 3333。通过隧道将流量引导到 WAN/电缆调制解调器的内部接口。

家庭工作站(公用端口 3333)-> digital_ocean_jump_host -> [---> 使用防火墙/NAT 规则穿过目标网络 WAN/边缘路由器 --->] -> internal_jump_host -> 端口 3333 上的 WAN/边缘路由器的私有接口

经过多次 Google 查询和多次尝试,我还是无法让它正常工作。我最多只能通过 ssh 连接到内部服务器。

我可能遗漏了什么 SSH foo。理想情况下,我希望将隧道设为自动化服务。但两步过程是可以接受的。

答案1

3333您缺少从本地计算机的端口到的端口转发router_internal_ip:3333,可以通过以下方式完成:

Host domain.com
ProxyJump digital_ocean_jump_host
Hostname internal_jump_host
LocalForward 3333 router_internal_ip:3333

用作ssh domain.com

相关内容