Назад | Перейти на главную страницу

Блокировать SSH-туннелирование на IP, разрешить только определенным пользователям

Мне нужно настроить SSH, чтобы заблокировать весь доступ к определенному IP-адресу на порту 555. Только небольшой группе пользователей должно быть разрешено туннелировать на этот IP-адрес. В настоящее время у меня в sshd_config есть следующие данные

Match User bob
        PermitOpen 1.2.3.4:555 5.6.7.8:555

У меня вопрос: как запретить всем другим пользователям доступ к этому туннелю? Я не вижу запрета на открытие или ограничение открытия в sshd_config.

По умолчанию отключите TcpForwarding для всех пользователей:

AllowTcpForwarding No

И сделайте исключение для пользователя bob:

Match User bob
        AllowTcpForwarding Yes
        PermitOpen 1.2.3.4:555 5.6.7.8:555

Вы можете сделать это с помощью брандмауэра в окне SSH:

iptables -A OUTPUT -p tcp -d 1.2.3.4 --dport 555 -m owner --uid-owner bob -j ACCEPT
iptables -A OUTPUT -p tcp -d 1.2.3.4 --dport 555                          -j REJECT