Disponemos de una estación de trabajo Linux que es utilizada por un grupo de usuarios a través de Internet. Por seguridad, los usuarios deben conectarse a nuestra red privada mediante VPN y luego pueden conectarse mediante ssh a la estación de trabajo.
El trabajo que ejecutan en la estación de trabajo necesita conexión a Internet, por lo que la estación de trabajo está conectada a Internet a través de NAT.
Sin embargo, es posible que cualquier usuario normal pueda utilizar el reenvío de puertos para evitar la VPN. Por ejemplo, ejecutando el siguiente comando en la estación de trabajo:
ssh -NTf -R 60000:localhost:22 [email protected]
Luego se puede conectar a la estación de trabajo en public.server:60000. Esto evita la VPN e impone un problema de seguridad, ya que cualquiera puede conectarse public.server:60000, no solo el usuario que ejecuta este comando. (Sin embargo, si solo ese determinado usuario pudiera usarlo, creo que estaría bien).
Este es un problema no sólo para el reenvío de puertos ssh. También se pueden utilizar herramientas como frpo simplemente escribir un código simple para lograrlo.
Me pregunto si existe alguna buena medida para resolver este problema.