Sshd có thể hạn chế các điểm cuối đường hầm máy khách đến localhost không?


7

Thông thường, máy khách ssh có thể yêu cầu chuyển tiếp TCP bằng -Ltùy chọn dòng lệnh. Máy chủ có thể vô hiệu hóa hoàn toàn việc này bằng cách sử dụng AllowTcpForwarding no. Nếu được bật, máy khách có thể yêu cầu kết nối điểm cuối với một máy từ xa khác với máy chủ sshd bằng cách sử dụng máy chủ trong -L port:host:hostport. Có cách nào để định cấu hình sshd để giới hạn địa chỉ chuyển tiếp đích localhost(ví dụ: chính máy chủ sshd) không?

Câu trả lời:


9

Một mặc định an toàn cho cài đặt OpenSSH sẽ có GatewayPorts được đặt thành không . Đây chính xác là hạn chế đó.

biên tập

Xem chỉ thị PermitOpen :

Chỉ định các đích mà chuyển tiếp cổng TCP được phép. Thông số kỹ thuật chuyển tiếp phải là một trong các hình thức sau:

              PermitOpen host:port
              PermitOpen IPv4_addr:port
              PermitOpen [IPv6_addr]:port

Nhiều chuyển tiếp có thể được chỉ định bằng cách tách chúng với khoảng trắng. Có thể sử dụng một đối số của bất kỳ người dùng nào để loại bỏ tất cả các hạn chế và cho phép mọi yêu cầu chuyển tiếp. Theo mặc định, tất cả các yêu cầu chuyển tiếp cổng được cho phép.


Áp GatewayPortsdụng cho các cổng được chuyển tiếp cho máy khách, nghĩa là, với -Rtùy chọn máy khách . Tôi đang tìm kiếm một hạn chế về địa chỉ đích khi sử dụng -L.
Greg Hewgill

Nó hoạt động cả cho -R và -L, nhưng tôi hiểu ý của bạn bây giờ, bạn muốn hạn chế nguồn gốc của một chuyển tiếp đến một localhost. Đó là khó khăn hơn. Gatewayports hạn chế điểm đến .
ata

Tôi đã có GatewaysPorts notrong tôi sshd_config. Tôi có thể sử dụng ssh -L 1234:anotherhost:1234 serverđể thiết lập một đường hầm đến anotherhost. Điều tôi muốn là cho phép ssh -L 1234:localhost:1234 servernhưng không cho phép ssh -L 1234:anotherhost:1234 server .
Greg Hewgill

Cảm ơn bạn, PermitOpenlà lựa chọn tôi đang tìm kiếm! Không chắc chắn làm thế nào tôi bỏ lỡ điều đó trong trang người đàn ông.
Greg Hewgill

> Nó hoạt động cả cho -R và -L . GatewayPortstrong ~/.ssh/configbộ chính sách cho -L. GatewayPortstrong máy chủ từ xa /etc/ssh/sshd_configthiết lập chính sách cho -R.
ScumCoder
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.