Как системный администратор я полагаю, что это - моя обязанность гарантировать, что системы под моим уходом являются столь защищенными и надежными, как я могу возможно сделать их. Резервные копии подпадают под теги надежности. Срыв, поскольку это может быть должно должным быть спорить с непониманием руководящего персонала (я думаю, что мы все были там в рано или поздно), мы все еще должны делать наши работы как лучше всего, мы можем.
Когда система резервного копирования, которую я наследовал в своей отказавшей текущей позиции и управление, сомневалась в том, чтобы тратить деньги на систему, я хотел, я не оставил систему без резервных копий. Вместо этого я ввел свой персональный внешний диск и использовал это в течение недели или около этого. Несмотря на наличие абсолютного отвращения для использования жестких дисков для резервных копий факт остается, что это было весьма предпочтительно для наличия ни одного вообще.
Неясно, что Вы подразумеваете "под двойным туннелем". Это кажется, что Вы просто говорите об использовании перенаправления портов SSH, чтобы позволить подрядчику получать доступ к AS/400 через компьютер "InsideLinuxServer".
Удостоверьтесь, что SSH позволяется от Интернета до "InsideLinuxServer"
Создайте учетные данные на "InsideLinuxServer" для подрядчика для использования. (Вы могли бы хотеть стать более всесторонними и предотвратить доступ оболочки на том, что машина Linux для подрядчика, выключите SFTP, и т.д.),
Сделайте, чтобы подрядчик настроил их клиент SSH для туннелирования некоторого локального порта для портирования 23 из AS/400. В "ШПАКЛЕВКЕ" это сделано в Туннельном узле узла SSH Узла подключения настроек. Они добавили бы, исходный порт как некоторый неиспользуемый порт на их машине (скажите "2300"), место назначения IP-адреса или название AS/400 с ":23" добавленных после него, и добавьте его к переданному списку портов.
После того, как подрядчик соединяется с машиной "InsideLinuxServer" w/SSH, они смогли бы к TELNET к их собственному порту 2300 (в случае моего примера). PuTTY ответил бы, что соединение TCP делает попытку и передает трафик к "InsideLinuxServer", который, в свою очередь, сделал бы соединение TCP, чтобы портировать 23 на AS/400 и передать трафик.
До создания его "масштабируемый", для того числа клиентов я просто записал бы инструкции для них о том, как настроить PuTTY и отправить их на их пути.
Для создания вещей более безопасными, можно хотеть думать об использовании аутентификации с открытым ключом на сервере SSH вместо паролей. Это - немного больше работы установки впереди, но это более безопасно, чем использование паролей.