У нас есть несколько машин, расположенных в разных местах за брандмауэром, которые не имеют статического IP-адреса и не могут быть доступны извне.
Мы хотели бы получить доступ к этим машинам, но задаемся вопросом, какой вариант лучше. Мы подумали о настройке обратного ssh, инициированного этой машиной, на центральный бастион.
Но что произойдет, если кто-то получит доступ к одной из этих машин через туннель ssh? Может ли он получить доступ к другим машинам через бастион? Есть ли лучший способ решить эту проблему?
Спасибо.
Если вы используете ssh -R port1:host:port2 central
для настройки туннеля туннель разрешает соединение, инициируемое только центральным узлом. Предположим, что у пользователя нет доступа к сеансу ssh, который настраивает туннель, и вы не включили GatewayPorts в sshd_config центрального узла или брандмауэр на центральном узле не разрешает входящие соединения, тогда все в порядке.
Вы думали о том, чтобы разрешить всем этим машинам использовать VPN в централизованном месте? Мне это кажется более простым и стабильным, и вы можете настроить брандмауэр, чтобы разрешить / запретить трафик.