Temos uma estação de trabalho Linux que é utilizada por um grupo de usuários via Internet. Por segurança, os usuários devem se conectar à nossa rede privada por VPN e, em seguida, podem fazer ssh na estação de trabalho.
O trabalho executado na estação de trabalho precisa de conexão com a Internet, portanto a estação de trabalho está conectada à Internet via NAT.
No entanto, é possível que qualquer usuário normal possa usar o encaminhamento de porta para ignorar a VPN. Por exemplo, executando o seguinte comando na estação de trabalho:
ssh -NTf -R 60000:localhost:22 [email protected]
Pode-se então conectar-se à estação de trabalho em public.server:60000. Isso contorna a VPN e impõe um problema de segurança, já que qualquer pessoa pode se conectar public.server:60000, não apenas o usuário específico que executa este comando. (Se apenas aquele determinado usuário puder usá-lo, acho que tudo bem.)
Este é um problema não apenas para o encaminhamento de porta ssh. Também é possível usar ferramentas como frpou simplesmente escrever um código simples para conseguir isso.
Gostaria de saber se existe alguma boa medida para resolver esse problema?