У нас есть несколько машин, расположенных в разных местах за брандмауэром, которые не имеют статического IP-адреса и не могут быть доступны извне.
Мы хотели бы чтобы получить доступ к этим машинам, но задаетесь вопросом, какой вариант лучше. Мы подумали о настройке обратного ssh, инициированного этой машиной, на центральный бастион.
Но что произойдет, если кто-то получит доступ к одной из этих машин, думал туннель ssh? Может ли он получить доступ к другим машинам через бастион? Есть ли лучший способ решить эту проблему?
Спасибо.
Если вы используете ssh -R port1: host: port2 central
для настройки туннеля, то туннель разрешает соединение, инициируемое только с центрального узла. Предположим, у пользователя нет доступа к сеансу ssh, который настраивает туннель, и вы не включили GatewayPorts в sshd_config центрального узла, или брандмауэр на центральном узле не разрешает входящие соединения, тогда все в порядке.
Вы думали о разрешении все эти машины VPN в централизованном месте? Мне это кажется более простым и стабильным, и вы можете настроить брандмауэр для разрешения / запрета трафика.