我有一个在企业数据中心谁是系统pipe理员是我的服务器。 有一些虚拟机正在运行。主服务器可以通过SSH从互联网访问。 局域网内有一些人访问局域网上IP地址的虚拟机
192.168.1.1 192.168.1.2 192.168.1.3 192.168.1.4 作为互联网的堡垒主机的主机是IP 192.168.1.50,只有我有权访问它。 我必须让互联网上的人们可以访问我上面提到的IP的内部机器。我知道隧道是一个很好的方法,但人们是非常技术性的,不想进入隧道等行话。所以我碰到解决scheme,在这个链接上说明在.ssh / config文件中的192.168.1.50的网关机器上添加以下内容
Host securehost.example.com ProxyCommand ssh [email protected] nc %h %p
现在我的问题是,我需要在堡垒主机(网关)上创build单独的帐户,可以SSH的内部机器和每个用户.ssh /configuration我需要进行上述条目或在哪里我把网关上的.ssh / config。
另外ssh [email protected]
其中user1只存在于机器192.168.1.1而不是在网关是正确的语法? 因为内部机器是作为外部世界访问的
site1.example.com site2.example.com site3.example.com site4.example.com
但是SSH只适用于example.com,只有一个用户。那么我应该怎么去.ssh / config
1)我应该使用网关的.ssh / config中的ProxyCommand的正确语法是什么
ProxyCommand ssh [email protected] nc %h %p或我应该使用
ProxyCommand ssh [email protected] in nc %h %p
2)我应该在网关上创build新的用户帐户还是在ssh_config的AllowedUsers中添加它们就足够了?
ProxyCommand指令必须在客户端机器上指定,而不是在网关机器上,这会使用户更加复杂。 基本上从客户端来说,您使用[email protected]作为代理来说ssh [email protected]。
每个用户需要有一个ssh帐户,但是它可以是一个共享帐户,因为“代理用户名”仍然在客户端指定。