我们有多台机器位于防火墙后面的不同区域,没有静态IP,不能从外部访问。
我们想访问这些机器,但想知道什么是最好的select。 我们想过configuration一个由这些机器启动的反向ssh到一个中央堡垒。
但是如果有人能够访问其中一台机器,会发生什么事情,想想ssh隧道? 他可以访问其他机器认为堡垒? 有没有最好的做法来解决这个问题?
谢谢。
如果使用ssh -R port1:host:port2 central设置隧道,那么隧道只允许从中心节点发起连接。 假设用户无法访问设置隧道的ssh会话,并且您没有在中央节点的sshd_config中启用GatewayPorts,或者中央节点上的防火墙不允许传入连接,那么您就很好。
你有没有想过让所有这些机器的VPN到中央位置? 对我来说,这似乎更容易和稳定,您可以configuration防火墙来允许/禁止stream量。