Мне нужно настроить SSH, чтобы заблокировать весь доступ к определенному IP-адресу на порту 555. Только небольшой группе пользователей должно быть разрешено туннелировать на этот IP-адрес. В настоящее время у меня в sshd_config есть следующие данные
Match User bob
PermitOpen 1.2.3.4:555 5.6.7.8:555
У меня вопрос: как запретить всем другим пользователям доступ к этому туннелю? Я не вижу запрета на открытие или ограничение открытия в sshd_config.
По умолчанию отключите TcpForwarding для всех пользователей:
AllowTcpForwarding No
И сделайте исключение для пользователя bob
:
Match User bob
AllowTcpForwarding Yes
PermitOpen 1.2.3.4:555 5.6.7.8:555
Вы можете сделать это с помощью брандмауэра в окне SSH:
iptables -A OUTPUT -p tcp -d 1.2.3.4 --dport 555 -m owner --uid-owner bob -j ACCEPT
iptables -A OUTPUT -p tcp -d 1.2.3.4 --dport 555 -j REJECT