透過遠端連接埠轉送透過 Jumphost 進行 SSH 會話

我們在透過遠端連接埠轉送進行 SSH 連線時遇到問題。

該場景是一個企業網絡，內部網路上的伺服器（我們稱之為「來源」）必須透過 SSH 登入 DMZ 中的伺服器（「目標」）。由於 DMZ 中的目標伺服器對於來自內部網路的連線被鎖定（甚至無法從內部網路看到），因此我們在 DMZ 中有一個跳轉主機（「jumphost」）。我們透過在跳轉主機上設定遠端連接埠轉送來實現此目的。

我們從內部網路上的來源伺服器執行此命令到跳轉主機：

origin> ssh -R *:1234:target:22 myusername@jumphost

這是為了在跳轉主機上建立 SSH 會話，使其開始偵聽連接埠 1234（只是一個任意連接埠號碼範例），並將該連接埠上的連線轉送至目標伺服器連接埠 22 (SSH)。

然後我們在連接埠1234 上建立第二個SSH 會話，仍然是從來源伺服器到跳轉主機，然後該會話實際上在連接埠22 上連接到目標伺服器- 這是我們的「真正」SSH 會話，我們可以在其中完成我們的工作目標伺服器：

origin> ssh jumphost -P 1234

配置

跳轉主機已配置為允許遠端連接埠轉發，在 sshd_config 中進行以下設定：

AllowTcpForwarding yes
GatewayPorts yes

此外，在來源伺服器和跳轉主機之間設定了防火牆開口，用於連接埠 22（用於初始 SSH 連線以設定遠端連接埠轉送）和連接埠 1234（用於轉送連接埠上的後續 SSH 連線）。跳轉主機和目標之間也有防火牆，已在連接埠 22 上開啟。

結果

當我們建立第二個連線（透過轉送連接埠的連線）時，該連線立即關閉（「連線被遠端主機關閉」）。

在目標伺服器上執行 tcpdump 顯示沒有任何活動，即連線似乎被阻止。

但是，我們能夠成功建立從跳轉主機到目標的常規 SSH 會話。僅當透過轉送連接埠進入時，連線才會關閉，儘管兩者都連接到連接埠 22 上的目標。

更重要的是，如果我們將連接埠轉送指向內部網路上的伺服器（即從內部網路上的原點到 DMZ 中的跳轉主機，然後返回內部網路上的第三台伺服器的連線），那麼 SSH會話建立成功。

猜測和疑問

所有這些讓我相信某些網路安全設定正在發揮作用，它阻止透過跳轉伺服器上的轉送連接埠連接到 DMZ 內的目標伺服器。不幸的是我知識不夠，無法知道：

(1) 從網路安全策略的角度來看，來自來源伺服器、透過跳轉伺服器上的轉送連接埠的 SSH 連線是否“不同”，是否可以在技術上被阻止，如果可以，如何阻止？需要做什麼才能解除該限制？

(2) 不允許此連接通過的任何其他原因 - 防火牆配置、路由器配置、來源站或跳轉主機上的 SSH 設置，還有其他原因嗎？

(3) 是否會因為來源伺服器不知道目標伺服器而失敗，導致第一個 ssh 指令無法如預期般運作？換句話說，第一個 ssh 指令（「目標」）中指定的主機名稱是在客戶端（來源）還是在我們連接到建立隧道（跳轉主機）的伺服器上解釋的？

最令我困惑的是，可以從跳轉主機到目標建立常規 SSH 會話，我認為透過轉送連接埠進入的 SSH 連線將是相同的，但不知怎的，事實並非如此。

非常感謝任何意見。