Я пытаюсь свести к минимуму поверхность для атаки с публичной стороны. Разрешение трафика только с определенного IP-адреса. Я хочу запретить любой входной доступ к порту управления удаленного WAN / Edge Router с публичной стороны. Итак, я хочу создать туннель к серверу на частной стороне и перенаправлять трафик оттуда на маршрутизатор WAN / Edge. У меня дома есть динамический IP-адрес, но есть дроплет DigitalOcean, через который туннель всегда будет статическим. Я считаю, что VPN даст тот же результат, но я действительно не хотел настраивать и поддерживать VPN, когда, если бы я мог определить последовательность туннелей, туннель SSH позволил бы мне создавать и разрушать по желанию, также используя аутентификацию по SSH-ключу . Итак, моя связь будет выглядеть примерно так.
Мой порт назначения на WAN / Edge Router определяется пользователем. Итак, чтобы скрыть место назначения, скажем, это порт 3333. Итак, со своей рабочей станции я бы указал своей служебной программой управления на порт 3333 на моем локальном хосте. Направление трафика через туннель на внутренний интерфейс WAN / кабельного модема.
Домашняя рабочая станция (служебный порт 3333) -> digital_ocean_jump_host -> [---> Прохождение через целевую сеть WAN / пограничный маршрутизатор с помощью правила межсетевого экрана / NAT --->] -> internal_jump_host -> Частный интерфейс WAN / пограничного маршрутизатора на порте 3333
После многих запросов в Google и нескольких попыток я просто не могу заставить его работать. В лучшем случае я могу подключиться к внутреннему серверу по ssh.
Что SSH foo может мне здесь не хватать. В идеале хотелось бы сделать туннель автоматизированным сервисом. Но двухэтапный процесс будет приемлемым.
Вам не хватает переадресации порта из порта 3333 вашего локального компьютера на router_internal_ip:3333, что можно сделать примерно так:
Host domain.com
ProxyJump digital_ocean_jump_host
Hostname internal_jump_host
LocalForward 3333 router_internal_ip:3333
использоваться как ssh domain.com.