当社には、インターネット経由でユーザー グループが使用する Linux ワークステーションがあります。セキュリティのため、ユーザーは VPN で当社のプライベート ネットワークに接続し、ワークステーションに SSH で接続する必要があります。
ワークステーションで実行するジョブにはインターネット接続が必要なので、ワークステーションは NAT 経由でインターネットに接続されます。
ただし、通常のユーザーはポート転送を使用して VPN をバイパスできる可能性があります。たとえば、ワークステーションで次のコマンドを実行します。
ssh -NTf -R 60000:localhost:22 [email protected]
その後、 のワークステーションに接続できますpublic.server:60000。これにより、VPN がバイパスされ、このコマンドを実行する特定のユーザーだけでなく、誰でも に接続できるため、セキュリティ上の問題が発生しますpublic.server:60000。(ただし、特定のユーザーだけが使用できる場合は問題ないと思います。)
これは、ssh ポート転送に限った問題ではありません。 のようなツールを使用したりfrp、簡単なコードを記述したりして、これを実現することもできます。
この問題を解決する良い方法はあるのだろうか?