Может ли sshd ограничить конечные точки клиентского туннеля на localhost?

Обычно клиент ssh может запрашивать переадресацию TCP с использованием опции командной строки -L . Сервер может полностью отключить его, используя AllowTcpForwarding no . Если включено, клиент может запросить подключение конечной точки к удаленному компьютеру, отличному от сервера sshd, используя хост в -L port:host:hostport . Есть ли способ настроить sshd, чтобы ограничить адрес пересылки адресата на localhost (то есть сам сервер sshd)?

Безопасное значение по умолчанию для установки OpenSSH будет иметь GatewayPorts, установленное на no . Именно это ограничение.

редактировать

См. Директиву PermitOpen :

Указывает адресатов, которым разрешена переадресация портов TCP. Спецификация пересылки должна быть одной из следующих форм:

  PermitOpen host:port PermitOpen IPv4_addr:port PermitOpen [IPv6_addr]:port 

Несколько форвардов можно указать, разделив их пробелом. Аргумент «any» может использоваться для удаления всех ограничений и разрешения любых запросов на пересылку. По умолчанию разрешены все запросы переадресации портов.