web-dev-qa-db-ja.com

IPへのSSHトンネリングをブロックし、特定のユーザーのみを許可する

ポート555で特定のIPへのすべてのアクセスをブロックするようにSSHを設定する必要があります。少数のユーザーグループのみがそのIPへのトンネリングを許可する必要があります。現在、sshd_configには次のものがあります

Match User bob
        PermitOpen 1.2.3.4:555 5.6.7.8:555

私が持っている質問は、他のすべてのユーザーがこのトンネルにアクセスすることをどのように拒否するかです。 sshd_configにdenyopenまたはrestrictopenが表示されません。

7
Pratik Amin

SSHボックスのファイアウォールでそれを行うことができます:

iptables -A OUTPUT -p tcp -d 1.2.3.4 --dport 555 -m owner --uid-owner bob -j ACCEPT
iptables -A OUTPUT -p tcp -d 1.2.3.4 --dport 555                          -j REJECT
6
MadHatter

デフォルトですべてのユーザーに対してTcpForwardingを無効にします。

AllowTcpForwarding No

そして、ユーザーbobの例外を作成します。

Match User bob
        AllowTcpForwarding Yes
        PermitOpen 1.2.3.4:555 5.6.7.8:555
11
Lekensteyn