Я ищу способ избежать постоянного редактирования правил брандмауэра на тестовых серверах и серверах разработки. Я не хочу открывать все порты. Поэтому я подумал, может быть, есть способ автоматически разрешить весь трафик из источников с установленным ssh-соединением. (Несколько лет назад кто-то сказал мне, что они сделали это для серверов разработки / тестирования -> не требуется редактирование root и брандмауэра, а приложения не нужно защищать)
Я знаю, что могу использовать ssh-туннель, но проблема с приложениями с динамическим портом, многопортовыми приложениями и огромными накладными расходами.
IpTables и другие брандмауэры, вероятно, не знают, было ли аутентифицировано ssh-соединение, но есть ли решение или альтернатива? (например, установлено более 5 секунд -> автоматическое отключение паба / закрытого ключа при ошибке)
Все правила, кроме последнего, просты. К сожалению, у меня нет контактной информации человека, с которым я когда-то говорил об этом, и я не смог найти ничего связанного / похожего в течение часа исследования.
Возможно ли что-то подобное? Я ценю любой вклад :)
Вероятно, вы могли бы приспособить fail2ban к своему желанию, используя настраиваемый фильтр для обнаружения успешный логины и настраиваемое действие для добавления правил iptables для обнаруженного IP-адреса источника вместо их запрета.
Это немного странно, поэтому вам нужно несколько действительно хороших комментариев в вашей конфигурации, чтобы следующий человек, который придет, смог понять, что вы делаете :)