SSH jumphost без учетных записей пользователей на jumphost

У меня есть VM-хостинг, который предоставляет несколько виртуальных машин. Каждая виртуальная машина имеет собственный диапазон портов, и каждая VM предоставляет VNC. Проблема в том, что хост имеет только 1 общедоступный IP-адрес, а виртуальные машины отличаются по диапазону портов. http и https легко, потому что nginx можно использовать для выполнения маршрутизации на основе имени хоста. Но один из пользователей находится за брандмауэрной сетью, которая позволяет использовать только порты 22, 80 и 443, поэтому он не может подключиться к виртуальной машине вообще, потому что его порт ssh заблокирован.

Можно ли настроить SSH-маршрутизатор / прокси-сервер, позволяющий перейти к виртуальным машинам без фактического создания функциональных учетных записей для каждого пользователя на виртуальной машине VM?

  • Оценка риска SSH PermitUserEnvironment с ForceCommand
  • PuTTy работает очень плохо с VPS
  • Возможно несколько секретных ключей SSH?
  • Захват ответа с использованием команды SSH
  • Как я могу использовать шифрование arcfour через sshfs?
  • Поиск и управление файлами на внешнем жестком диске через FileZilla через SSH
  • Запуск моего локального сценария bash на удаленном сервере
  • Как проверить, могу ли я войти на сервер через ssh?
  • 2 Solutions collect form web for “SSH jumphost без учетных записей пользователей на jumphost”

    Мне нравится использовать zerotier для создания моей собственной маленькой сети. Я использую его для пересечения NAT, и настройка выполняется в webUI.

    Он может создавать виртуальные сети Ethernet практически неограниченного размера.

    Вы запускаете zt в качестве клиента, а затем создаете свою собственную сетевую среду и авторизуете «клиентов» в сети. Каждый клиент получит собственный IP-адрес (или несколько, в соответствии с вашей конфигурацией), подключенный к виртуальному интерфейсу «zt».

    Он работает, создавая zt интерфейс для каждой объединенной сети ( zt0, zt1, etc С IP-адресами, которые вы назначили) (несколько IP-адресов возможны для каждого интерфейса). Сети могут быть частными или общедоступными.

    edit: Это действительно не прямой ответ на вопрос о jumphosts, но это альтернативное решение, устраняя необходимость пересылки портов. Вместо того, чтобы пересылать каждый экземпляр vnc в собственный диапазон портов, с помощью zt вы можете просто назначить отдельный IP для каждого экземпляра vm в вашей собственной частной сети, работая на порту по умолчанию.

    Если вы хотите использовать jumphost, установите их оболочку в / bin / false. Вероятно, есть другие проблемы с безопасностью, которые вам необходимо решить. Например, вы должны отключить GatewayPorts на jumphost, а также каким-то образом предотвратить туннели, не помещая -W для хоста назначения.

    Linux и Unix - лучшая ОС в мире.