我们有一个公共服务器,它接受来自防火墙后面的多个客户端的 SSH 连接。
这些客户端中的每一个都通过使用ssh -R从其 Web 服务器在端口 80 到我们的公共服务器的命令来创建反向 SSH 隧道。
反向SSH隧道的目的端口(在客户端)是80,源端口(在公共服务器端)取决于用户。我们计划为每个用户维护一个端口地址映射。
例如,客户端 A 会将其 Web 服务器的 80 端口隧道连接到我们的 8000 端口;客户 B 从 80 到 8001;客户端 C 从 80 到 8002。
Client A: ssh -R 8000:internal.webserver:80 clienta@publicserver
Client B: ssh -R 8001:internal.webserver:80 clientb@publicserver
Client C: ssh -R 8002:internal.webserver:80 clientc@publicserver
基本上,我们要做的是将每个用户绑定到一个端口,并且不允许他们通过隧道连接到任何其他端口。
如果我们使用 SSH 的转发隧道功能ssh -L,我们可以通过使用permitopen=host:port配置允许哪个端口被隧道化。但是,反向 SSH 隧道没有等效项。
有没有办法限制每个用户的反向隧道端口?