SSH jumphost без учетных записей пользователей на jumphost
У меня есть VM-хостинг, который предоставляет несколько виртуальных машин. Каждая виртуальная машина имеет собственный диапазон портов, и каждая VM предоставляет VNC. Проблема в том, что хост имеет только 1 общедоступный IP-адрес, а виртуальные машины отличаются по диапазону портов. http и https легко, потому что nginx можно использовать для выполнения маршрутизации на основе имени хоста. Но один из пользователей находится за брандмауэрной сетью, которая позволяет использовать только порты 22, 80 и 443, поэтому он не может подключиться к виртуальной машине вообще, потому что его порт ssh заблокирован.
Можно ли настроить SSH-маршрутизатор / прокси-сервер, позволяющий перейти к виртуальным машинам без фактического создания функциональных учетных записей для каждого пользователя на виртуальной машине VM?
- Инициализация полностью подключенной сети ssh
- Настройка ssh для сеанса linux to solaris
- Проверьте, вошел ли пользователь в систему после нажатия «Переключить пользователей»
- Как я могу поддерживать открытое ssh-соединение и использовать его из сценариев оболочки?
- Добавление пользователя, который может выполнять только сценарии удаленно
2 Solutions collect form web for “SSH jumphost без учетных записей пользователей на jumphost”
Мне нравится использовать zerotier для создания моей собственной маленькой сети. Я использую его для пересечения NAT, и настройка выполняется в webUI.
Он может создавать виртуальные сети Ethernet практически неограниченного размера.
Вы запускаете zt в качестве клиента, а затем создаете свою собственную сетевую среду и авторизуете «клиентов» в сети. Каждый клиент получит собственный IP-адрес (или несколько, в соответствии с вашей конфигурацией), подключенный к виртуальному интерфейсу «zt».
Он работает, создавая zt
интерфейс для каждой объединенной сети ( zt0, zt1, etc
С IP-адресами, которые вы назначили) (несколько IP-адресов возможны для каждого интерфейса). Сети могут быть частными или общедоступными.
edit: Это действительно не прямой ответ на вопрос о jumphosts, но это альтернативное решение, устраняя необходимость пересылки портов. Вместо того, чтобы пересылать каждый экземпляр vnc в собственный диапазон портов, с помощью zt вы можете просто назначить отдельный IP для каждого экземпляра vm в вашей собственной частной сети, работая на порту по умолчанию.
Если вы хотите использовать jumphost, установите их оболочку в / bin / false. Вероятно, есть другие проблемы с безопасностью, которые вам необходимо решить. Например, вы должны отключить GatewayPorts на jumphost, а также каким-то образом предотвратить туннели, не помещая -W
для хоста назначения.