SSH jumphost без учетных записей пользователей на jumphost

У меня есть VM-хостинг, который предоставляет несколько виртуальных машин. Каждая виртуальная машина имеет собственный диапазон портов, и каждая VM предоставляет VNC. Проблема в том, что хост имеет только 1 общедоступный IP-адрес, а виртуальные машины отличаются по диапазону портов. http и https легко, потому что nginx можно использовать для выполнения маршрутизации на основе имени хоста. Но один из пользователей находится за брандмауэрной сетью, которая позволяет использовать только порты 22, 80 и 443, поэтому он не может подключиться к виртуальной машине вообще, потому что его порт ssh заблокирован.

Можно ли настроить SSH-маршрутизатор / прокси-сервер, позволяющий перейти к виртуальным машинам без фактического создания функциональных учетных записей для каждого пользователя на виртуальной машине VM?

2 Solutions collect form web for “SSH jumphost без учетных записей пользователей на jumphost”

Мне нравится использовать zerotier для создания моей собственной маленькой сети. Я использую его для пересечения NAT, и настройка выполняется в webUI.

Он может создавать виртуальные сети Ethernet практически неограниченного размера.

Вы запускаете zt в качестве клиента, а затем создаете свою собственную сетевую среду и авторизуете «клиентов» в сети. Каждый клиент получит собственный IP-адрес (или несколько, в соответствии с вашей конфигурацией), подключенный к виртуальному интерфейсу «zt».

Он работает, создавая zt интерфейс для каждой объединенной сети ( zt0, zt1, etc С IP-адресами, которые вы назначили) (несколько IP-адресов возможны для каждого интерфейса). Сети могут быть частными или общедоступными.

edit: Это действительно не прямой ответ на вопрос о jumphosts, но это альтернативное решение, устраняя необходимость пересылки портов. Вместо того, чтобы пересылать каждый экземпляр vnc в собственный диапазон портов, с помощью zt вы можете просто назначить отдельный IP для каждого экземпляра vm в вашей собственной частной сети, работая на порту по умолчанию.

Если вы хотите использовать jumphost, установите их оболочку в / bin / false. Вероятно, есть другие проблемы с безопасностью, которые вам необходимо решить. Например, вы должны отключить GatewayPorts на jumphost, а также каким-то образом предотвратить туннели, не помещая -W для хоста назначения.