SSH jumphost без учетных записей пользователей на jumphost
Мне нравится использовать zerotier (бесплатная версия для меня, банкомат) для создания моих собственных частных сетей. Я использую его для прохождения NAT, а настройка выполняется через веб-интерфейс. Он работает как виртуальная частная сеть (ближайший известный мне инструмент - hamachi), также можно создавать виртуальные общедоступные сети.
Он может создавать виртуальные сети Ethernet практически неограниченного размера.
Вы запускаете zt как клиент, и ваша система будет иметь интерфейс виртуальной сети "zt". Затем вы создаете свою собственную сетевую среду и авторизуете «клиентов» в webui (для частных сетей). Затем каждый клиент получит свой собственный IP-адрес (или несколько, в зависимости от вашей конфигурации), подключенный к виртуальному интерфейсу zt.
Он работает путем создания виртуального сетевого интерфейса zt для каждой присоединенной сети ( zt0, zt1 и т. Д. с IP-адресами, которым вы его назначаете (для каждого интерфейса возможно несколько IP-адресов). Сети могут быть частными или общедоступными.
edit: Это действительно не прямой ответ на вопрос о переходных узлах, но это альтернативное решение, устраняющее необходимость перенаправлять порты. Вместо того, чтобы перенаправлять каждый экземпляр vnc в его собственный диапазон портов, с помощью zt вы можете просто назначить индивидуальный IP-адрес каждому экземпляру vm в вашей собственной частной сети, работающему на порту по умолчанию.
Если вы хотите использовать jumphost, установите его shell в /bin/false. Вероятно, есть и другие проблемы безопасности, которые вам необходимо решить. Например, вы должны отключить GatewayPorts на jumphost, а также каким-то образом предотвратить туннели без предотвращения -W к узлу назначения.