У нас есть рабочая станция Linux, которая используется группой пользователей через Интернет. Для безопасности пользователи должны подключиться к нашей частной сети через VPN, а затем могут подключиться к рабочей станции по ssh.
Для работы, выполняемой на рабочей станции, требуется подключение к Интернету, поэтому рабочая станция подключена к Интернету через NAT.
Однако тогда возможно, что любой обычный пользователь сможет использовать переадресацию портов для обхода VPN. Например, выполнив следующую команду на рабочей станции:
ssh -NTf -R 60000:localhost:22 [email protected]
Затем можно подключиться к рабочей станции в public.server:60000. Это обходит VPN и создает проблему безопасности, поскольку к может подключиться кто угодно public.server:60000, а не только определенный пользователь, который запустил эту команду. (Хотя, если только этот определенный пользователь может ее использовать, я думаю, это было бы нормально.)
Это проблема не только для переадресации портов ssh. Можно также использовать такие инструменты, как frpили просто написать простой код, чтобы добиться этого.
Интересно, есть ли какие-то хорошие меры для решения этой проблемы?