我们有一个 Linux 工作站,供一组用户通过互联网使用。出于安全考虑,用户必须通过 VPN 连接到我们的专用网络,然后才能通过 ssh 连接到工作站。
他们在工作站上运行的工作需要互联网连接,因此工作站通过 NAT 连接到互联网。
但是,任何普通用户都可以使用端口转发来绕过 VPN。例如,通过在工作站上运行以下命令:
ssh -NTf -R 60000:localhost:22 [email protected]
然后,人们可以连接到 的工作站public.server:60000
。这样可以绕过 VPN,并带来安全问题,因为任何人都可以连接到public.server:60000
,而不仅仅是运行此命令的特定用户。(如果只有特定用户可以使用它,我认为就没问题了。)
这不仅是 ssh 端口转发的问题。也可以使用类似 的工具frp
或编写简单的代码来实现这一点。
请问有没有什么好办法可以解决这个问题?