Вопросы Теги

Недостатки использования ProxyJump, когда он не нужен

Есть ли недостатки в использовании ProxyJump , когда он не нужен?

Мы используем общий файл .ssh / config на многих машинах, некоторые из которых находятся за jumpbox и другие нет. Есть ли недостаток в использовании опции ProxyJump для двух машин, находящихся за определенным переходным блоком? (Я бы предположил, что будет незаметная дополнительная задержка, но это все).

Сейчас наша общая конфигурация использует эту настройку, чтобы использовать ProxyJump только при необходимости: 

Match Host example Exec "! nslookup $(nslookup internal.site.com | head -1 | grep -o '[0-9]\+\([.][0-9]\+\)\{3\}') | grep -o 'name = .\+site.com\.$'"
    ProxyJump jumpbox
Host example
    HostName example.internal.site.com

Однако проверка Match Exec немного хрупкая и не обязательно сработает все системы правильно.

3
задан 4 June 2021 в 09:06
1 ответ

ProxyJump, по сути, делает следующее:

  1. Он подключается к прокси , создавая TCP-порт, переадресовывающий случайный локальный порт на целевой порт (22 или в зависимости от того, что настроено для целевого хоста). Эта связь живет на заднем плане.
  2. Затем он подключается к этому перенаправленному порту, используя только что созданный TCP-туннель SSH. Туннель настроен для подключения к SSH-порту целевого хоста, поэтому соединение переходит к этому целевому порту.

Таким образом, SSH-соединение является прямым. Вы можете пропускать через него TCP-туннели, вперед или назад, или использовать любые другие функции SSH. Вы даже можете использовать прокси-сервер в качестве прокси для третьей системы, и тогда будет два фоновых соединения, перенаправляющих случайные порты.

Я вижу следующие недостатки:

  • Зависимость от прокси. Если вам нужно поработать с самим прокси, перезагрузить его или что-то в этом роде, все текущие соединения будут разорваны.
  • Целевой хост видит соединение, как если бы оно было выполнено через прокси. Настоящий адрес соединительной системы полностью скрыт. Бремя обеспечения безопасности лежит на доверенном лице. Более того, если на целевом хосте есть какая-то служба автоматического запрета, работающая как fail2ban, и если прокси-соединение было успешным, а целевой - нет, эта служба может в конечном итоге заблокировать любые соединения с прокси. Не очень удобно!

Оба этих недостатка являются необходимыми уступками при использовании прокси, но иногда, когда хост доступен напрямую, это может быть неожиданным (например, когда вы думаете, что подключаетесь напрямую).

5
ответ дан 28 July 2021 в 11:48

Теги

Похожие вопросы