Брандмауэр: позвольте весь трафик из источников, аутентифицируемых через. открытое соединение SSH
Я ищу способ избежать редактирования правил брандмауэра все время о тесте и dev серверах. Я не хочу открывать все порты. Таким образом, я думал, возможно, существует способ позволить весь трафик из источников с установленным соединением SSH автоматически. (Годы назад, которые кто-то сказал мне, они сделали это как это для dev/test серверов-> никакой корень и требуемое редактирование брандмауэра и приложения, не должны быть защищены),
Я знаю, что мог использовать туннель ssh, но проблема с этим с приложениями динамического порта, много приложениями порта и чистыми издержками работы.
IpTables и другие брандмауэры, вероятно, не знают, аутентифицировалось ли соединение SSH, но является там, возможно, работой вокруг или альтернативой? (например, установленный больше 5 секунд-> автоматическое отключение паба/закрытого ключа на сбое)
- ВХОДНОЕ ОТБРАСЫВАНИЕ
- ПОЗВОЛЬТЕ ОБРАТНУЮ ПЕТЛЮ
- ПОЗВОЛЬТЕ SSH
- ПОЗВОЛЬТЕ ЛОКАЛЬНУЮ СЕТЬ
- ПОЗВОЛЬТЕ весь трафик из источников с установленным соединением SSH.
Все правила являются прямыми помимо последнего. К сожалению, у меня нет контактной информации человека, с которым я когда-то говорил об этом, и я не мог вырыть ничего связанного/подобного в течение хорошего часа после исследования.
Что-то вроде этого даже возможно? Я ценю любой вход :)
Вероятно, вы могли бы изменить 'fail2ban' по своему желанию, используя пользовательский фильтр для обнаружения успешных входов в систему , а также пользовательское действие по добавлению правил iptables для обнаруженного IP источника вместо их запрета.
Это немного странно, так что вы хотели бы получить несколько действительно хороших комментариев в вашей конфигурации, чтобы следующий человек мог понять, что вы делали :)
.